Par Roseline Letteron.
La décision rendue par la Cour d’appel de Paris le 5 février 2014 suscite beaucoup de réactions d’étonnement, voire d’irritation, sur internet. Un blogueur n’est-il pas condamné à une amende de 3.000 € pour avoir téléchargé et communiqué des données parfaitement accessibles et d’ailleurs indexées sur Google ? Certes, le simple rappel des faits montre que l’intéressé a d’abord bénéficié d’une faille de sécurité, qui permettait d’accéder à des espaces conçus comme confidentiels. La lecture de la décision montre cependant que la situation juridique du blogueur n’est pas aussi simple que la présentation quelque peu caricaturale qui a en été faite sur internet.
Une faille de sécurité
En l’espèce, le blogueur Bluetouff était parvenu, grâce au moteur de recherche, sur le serveur extranet de l’Agence nationale de sécurité sanitaire de l’alimentation, de l’environnement et du travail (Anses), serveur utilisé par les chercheurs de l’Agence pour stocker et échanger leurs documents. Il y avait trouvé et téléchargé huit mille documents, par l’intermédiaire d’un réseau privé virtuel (VPN) vers une adresse IP située au Panama, ce qui explique que l’opération soit passée inaperçue. Certaines de ces données ont cependant été utilisées par un autre blogueur, proche de Bluetouff. C’est ainsi que dans un article publié sur le net et consacré à la dangerosité des nano-matériaux, l’Anses a découvert un beau jour une présentation PowerPoint faite par l’un de ses employés.
Ce second blogueur n’a pas été poursuivi, car il ignorait que les documents qui lui avaient été transmis par Bluetouff n’étaient pas publics. Dès qu’il en a été informé, il a retiré de son site les données litigieuses. Dans le cas de Bluetouff, le juge aurait pu rendre une décision identique, car l’intéressé s’est rendu de bonne foi sur la page indiquée par Google, sans savoir qu’il accédait à un espace privé. Il a en quelque sorte bénéficié d’une faille de sécurité du système. Le TGI de Créteil avait d’ailleurs relaxé l’intéressé dans un jugement du 23 avril 2013, et l’Anses n’avait pas fait appel, consciente qu’elle était en partie responsable de la fuite. C’est donc le seul recours du parquet que Bluetouff qui a suscité la présente décision de la Cour d’Appel.
Les trois infractions
Le responsable de Bluetouff est poursuivi pour trois infractions. La première est prévue par l’article 323-1 c. pén. et réside dans l’accès frauduleux à un système informatique, la seconde, prévue par le même article, est le maintien dans ce système, une fois que l’on a appris qu’il était de nature privée. Dans les deux cas, la peine encourue est de deux ans d’emprisonnement et 30.000 € d’amende. Enfin, la troisième infraction est constituée par le téléchargement et la conservation de données extraites d’un site privé. Celle-ci est tout simplement réprimée par l’article 311-1 du code pénal, celui-là même qui définit le vol comme « la soustraction frauduleuse de la chose d’autrui ».
La Cour d’Appel distingue entre les trois infractions. Elle confirme la relaxe dans le cas de la première infraction, celle relative à l’accès frauduleux. Le blogueur a en effet bénéficié d’une défaillance technique dont il n’est pas responsable. Et c’est évidemment cette faille de sécurité qui est à l’origine de l’indexation des données sur les moteurs de recherches.
En revanche, elle considère comme constituées les deux infractions suivantes, la seconde conditionnant la troisième. En effet, Bluetouff a reconnu, durant ses trente heures de garde à vue, qu’il a largement circulé dans le site, et qu’il a parfaitement vu qu’il était demandé un identifiant et un mot de passe sur la page d’accueil. Il a donc rapidement su qu’il était sur un espace privé, et il s’est donc frauduleusement « maintenu dans le système », au sens de l’article 323-1 du code pénal. Au moment du téléchargement, il ne pouvait donc ignorer le caractère privé des informations qu’il s’appropriait frauduleusement, à l’insu de leur propriétaire.
Bluetouff est il un « Whisleblower » ?
Certes, le blogueur n’est finalement condamné qu’à une amende de 3.000 €, peine relativement modeste si on la compare avec les 30.000 € mentionnés dans l’article 323-1 du code pénal. Elle permet cependant au juge pénal de faire œuvre pédagogique, en insistant sur l’élément moral de l’infraction. C’est parce qu’il ignorait qu’il avait pénétré sur un « extranet », c’est-à-dire la partie privative d’un site qu’il est relaxé du délai d’accès frauduleux. En revanche, une fois qu’il avait circulé dans l’arborescence et vu les demandes d’identifiant et de mot de passe, il ne pouvait plus l’ignorer, comme il ne pouvait plus ignorer que les données qu’il s’appropriait ne lui étaient pas destinées.
Reste évidemment à s’interroger sur l’usage que l’internaute a fait de ces données. Il n’en a tiré aucun bénéfice et s’est borné à les transmettre à un auteur qui travaillait sur les dangers des nanomatériaux. Sur ce point, on ne peut que déplorer une vision extrêmement simplificatrice de la « blogosphère ». Bon nombre de commentateurs très présents sur les réseaux sociaux ont feint de croire que la décision ouvrait la porte à une jurisprudence nouvelle. Tout internaute téléchargeant des données indexées par Google serait donc menacé de poursuites pénales, interprétation pour le moins caricaturale de la décision. Sur ce plan, les commentateurs ont perdu une occasion de se placer sur un autre plan, celui de la protection des « Whistleblowers« . À sa manière, Bluetouff est un lanceur d’alerte, et les données téléchargées méritaient peut-être d’entrer dans le débat public. Mais c’est une autre question, hélas.
—
Sur le web.
« il a parfaitement vu qu’il était demandé un identifiant et un mot de passe sur la page d’accueil. Il a donc rapidement su qu’il était sur un espace privé, et il s’est donc frauduleusement « maintenu dans le système » »
Ce n’est pas parce que la page d’accueil est protégée par un identifiant/mot de passe que le reste du site l’est.
Je peux très bien bloquer l’accès à un répertoire A (ici la page d’accueil), créer des sous répértoire A1, A2 bloqués également, et créer un sous-répertoire A3 qui sera public par défaut pour partager des documents publiquement.
La page d’accueil http://www.anses.fr/fr (en tout cas à ce jour) n’est même pas protégée par un identifiant/mot de passe, tout au plus il y a en haut à droite un lien « Mon compte » qui déroule un lien « Connexion ».
On peut donc deviner qu’il y a un espace privé (voir un simple accès d’administration du site), mais en aucun cas connaitre les url(s) concernées. Donc si on accède par google à une url on est en droit de croire que quelque part sur le site il existe un lien référençant cette url et qu’elle est donc publique.
Donc rien ne permet de savoir si on se trouve sur une url « privée ».
« Certes, le simple rappel des faits montre que l’intéressé a d’abord bénéficié d’une faille de sécurité, qui permettait d’accéder à des espaces conçus comme confidentiels. »
Une faille?
Non, une absence totale de sécurité.
Citation : La troisième infraction est constituée par le téléchargement et la conservation de données extraites d’un site privé. Celle-ci est tout simplement réprimée par l’article 311-1 du code pénal, celui-là même qui définit le vol comme « la soustraction frauduleuse de la chose d’autrui ».
Comment peut-on utiliser le qualificatif « privé » à propos d’un service public ? Comment un tribunal peut-il détourner l’esprit de cet article du code pénal pour l’utiliser dans le cas qui lui est soumis ? On ne peut pas matériellement s’approprier frauduleusement ce qui n’appartient à personne. Par définition, le bien public ne peut pas être « la chose d’autrui » ; ce qui est public est la chose de tous, donc de personne.
La propriété privée ne peut s’appliquer aux services publics. Privé, le bien n’est plus public. Si malgré tout la propriété privée doit s’appliquer, pour des raisons pratiques, cela implique que le service en question doit être privatisé ou qu’il doit disparaître.
En regard des attaques insensées, notamment fiscales, contre la vraie propriété privée, c’est-à-dire celle des individus, on doit craindre que, par une inversion du bon sens le plus élémentaire, la propriété privée ne soit prochainement réservée aux collectivités publiques qui sévissent dans nos pseudo-démocraties, de moins en moins démocratiques mais de plus en plus totalitaires, soutenues par des juges méprisant le bon sens et la morale.
» Par définition, le bien public ne peut pas être « la chose d’autrui » ; ce qui est public est la chose de tous, donc de personne. »
L’Etat peut tout à fait être victime de vol : par exemple ce n’est pas parce que le Louvre est un musée public que vous pouvez emporter la Joconde pour la mettre dans votre salon.
Nul doute que la loi s’appliquerait de la manière que vous décrivez ! Mais cet argument est pauvre car on ne justifie pas une faute en se prévalant d’une autre faute.
Le propos est de dire que la reconnaissance de l’Etat comme personne morale est éminemment contestable, notamment lorsqu’on lui fait bénéficier injustement de lois initialement prévues pour la défense des individus, ainsi que chacun peut le constater dans l’article ci-dessus. La seule manière de sortir de cette impasse est de privatiser le musée comme la Joconde puis, évidemment, mais cela allait de soi, de fermer ad nutum la tout aussi dispendieuse qu’inutile Anses.
« L’Etat peut tout à fait être victime de vol : »
mais pas de fichiers portant sur la santé publique!
bienvenu à gattacka…
ce procès n’est rien d’autre qu’une forme d’avertissement : « attention, vous foutez votre nez là où il ne faut pas ».
Aucun téléchargement n’est illégal dès lors qu’un fichier ou document est présent ou accessible sur internet ! Le téléchargement est un flux, comme l’air il circule de par le monde et n’est pas commercialisable et peut être réglementé sans disparaitre. Cette nouvelle formule de « téléchargement illégal « est une escroquerie idéologique pour que les états s’emparent de cette liberté mondiale..
Normalement, Il est évident que c’est au propriétaire de protéger ses données par logiciel de sécurité, ou il a tout simplement la liberté de ne pas les laisser trainer dans un ordinateur connecté à internet, puisqu’elles sont si secrètes !
Cette législation aussi scandaleuse que celle des stupéfiants accuse un individu de disposer de la liberté d’accès à l’information que certains veulent à tout prix protéger en incitant des états à légiférer contre leurs citoyens.
En réalité, cette condamnation est arbitraire, et elle envoie le mauvais signal public que des instances juridiques protègent des données qui ne doivent pas êtres connues de la population pour des objectifs dont ne peut qu’ignorer le détail…
Toutefois, je subodore que cette juridiction qui protège ces sociétés aux données si mystérieuses, n’intéresse de près ces puissants pirates du net, qui se feront le plaisir de mettre en lumière cette manipulation publique qui prends la tournure insidieuse, de la naissance d’une nouvelle dictature de la connaissance.
[…] par l’intermédiaire d’un réseau privé virtuel (VPN) vers une adresse IP située au Panama, ce qui explique que l’opération soit passée inaperçue.[…]
Juste au passage, peut-on m’expliquer en quoi le fait d’avoir une IP provenant d’un autre pays permet subitement de devenir furtif?
Bravo M le juge !
C’est facile.
Il faut demander à Merlin d’enchanter le VPN, comme avec les plaques de dissimulation. Comme ça, on voit ce qu’il y a *derrière* le VPN.
(Penser à prévoir un sac d’or pour Elias.)
Les commentaires sont fermés.