Vol de données informatiques

Vous êtes ici

02 juil

12:28

Vol de données informatiques

Commet le délit de vol l’individu qui, sans le consentement de leur propriétaire, soustrait des données informatiques en les fixant sur un support.

 

Cass. crim., 20 mai 2015, no 14-81336, ECLI:FR:CCASS:2015:CR01566, M. X, PB (rejet pourvoi c/ CA Paris, 5 févr. 2014), M. Guérin, prés. ; SCP Piwnica et Molinié, av.
 

En utilisant le moteur de recherche Google, qu’il interroge au moyen de plusieurs mots-clés, un individu accède fortuitement, en raison d’une faille de celui-ci, au système extranet de l’Agence nationale de sécurité sanitaire de l’alimentation, de l’environnement et du travail (ANSES). Bien qu’il prenne conscience, en remontant dans l’arborescence des répertoires jusqu’à la page d’accueil, que la connexion audit système requiert normalement une authentification au moyen d’un identifiant et d’un mot de passe, il poursuit l’exploration et télécharge même des données, qu’il diffuse ensuite à des tiers. Il est alors poursuivi, relaxé en première instance, mais condamné en appel, du chef à la fois de maintien frauduleux dans un système de traitement automatisé de données (le délit d’accès frauduleux est en revanche écarté au vu des circonstances) et de vol. Le condamné se pourvoit en cassation pour contester la réunion des éléments constitutifs des deux infractions retenues à son encontre. Tout particulièrement, l’incrimination de vol est selon lui inadaptée aux faits qu’on lui reproche, en l’absence de protection des données qu’il a copiées et de dépossession subie par l’ANSES. La Cour de cassation repousse néanmoins les arguments : elle relève que, au vu des constatations de la cour d’appel, l’intéressé « s’est maintenu dans un système de traitement automatisé après avoir découvert que celui-ci était protégé et a soustrait des données qu’il a utilisées sans le consentement de leur propriétaire », et approuve ainsi la condamnation dans sa totalité.

Cette affaire (dite Bluetouff, d’après le pseudonyme de l’utilisateur) a ainsi donné lieu à un arrêt, promis aux honneurs du Bulletin, qui retient une solution à l’intérêt manifeste : le vol peut consister à télécharger des données informatiques, à distance, sans s’emparer de leur support 1 . Mais, une fois de plus, la chambre criminelle se prononce essentiellement par approbation des juges du fond, se gardant bien de poser une quelconque règle de principe qui pourrait l’engager à l’avenir. Si une telle méthode empêche d’extrapoler avec assurance au-delà des faits d’espèce, il convient néanmoins d’examiner l’adéquation (I) et la pertinence (II) de la qualification de vol dont ceux-ci ont été revêtus.

I – L’adéquation de la qualification de vol

L’arrêt rapporté admet clairement la constitution du délit de vol, alors qu’a priori l’incorporalité des données informatiques en compromettait la possibilité. Il est en effet classiquement enseigné que le substantif « chose », qu’emploie l’article 311-1 du Code pénal, désigne un objet tangible – qui n’a pas nécessairement de valeur marchande ou juridique –, par opposition au terme « bien », présent par exemple à l’article 314-1 (abus de confiance), qui renvoie à un élément doté d’une valeur, mais qui peut, lui, être dépourvu de corps physique. Ce simple choix terminologique interdirait donc d’appliquer le délit de vol aux pseudo-choses immatérielles (informations, inventions, créances, etc.), incompatibilité qui serait au surplus accentuée par la teneur des autres conditions posées à l’article 311-1. D’une part, en effet, l’appropriation de ces choses-là par quiconque serait souvent inconcevable ou douteuse (comment par exemple déterminer si tel ou tel concept ou idée, par nature fuyant – de « libre parcours » –, appartient bien à quelqu’un ?), alors que le vol consiste à s’emparer de la chose « d’autrui » en agissant « frauduleusement » (donc contre le gré ou à l’insu de son propriétaire). D’autre part, s’agissant des informations, leur appréhension prend surtout la forme d’une reproduction, c’est-à-dire d’un acte qui n’entraîne pas corrélativement dépossession au détriment du légitime possesseur (il n’en est pas privé), alors que le vol est le fait de « soustraire », c’est-à-dire d’ôter.

L’ensemble de ces obstacles directs ou indirects à la caractérisation du vol n’a cependant pas emporté la conviction de la Cour de cassation. Tout au contraire, synthétisant la motivation de la juridiction d’appel, elle considère que le prévenu « a soustrait des données qu’il a utilisées sans le consentement de leur propriétaire », admettant par là que le vol peut porter sur des données informatiques et que celles-ci sont susceptibles d’être appropriées 2 et soustraites frauduleusement 3  – l’intention dolosive étant en l’occurrence tacitement vérifiée.

La singularité de l’affaire peut alors être mise en relief. Généralement, en effet, le vol de « choses » immatérielles repose sur l’appréhension de leur support (le papier qui renferme un secret, l’instrumentum qui constate une obligation, etc.), donc d’une « chose » stricto sensu, ce qui élude la difficulté : l’on raisonne par rapport à l’objet ostensible, matériel, et non par rapport à l’objet réel, incorporel, que convoite l’agent. La jurisprudence a au surplus jugé que la soustraction peut n’être que momentanée, en sorte par exemple que photocopier un document est répréhensible 4 . Cette interprétation est décisive : si la manipulation du contenant suffit à constituer le délit, alors on imagine que même le simple fait de feuilleter un carnet, pour prendre connaissance de son contenu, peut être de plano qualifié de soustraction. Finalement, le problème conceptuel du vol d’informations serait illusoire, puisqu’elles s’incarnent dans un objet matériel dont la soustraction se conçoit si facilement.

En réalité, la présente affaire montre que le support de l’information n’est pas nécessairement déplacé ou manié. Loin de l’hypothèse plaisante de celui qui écoute aux portes, regarde par le trou de la serrure ou lit un document miraculeusement ouvert à la bonne page sans avoir besoin de le toucher, il s’est ici agi, pour le coupable, à partir de son ordinateur, de prendre connaissance et copie de données figurant dans un autre système informatique. Il n’était donc pas possible de caractériser la mainmise sur un support 5 . Tout, en somme, dans ce vol semble dématérialisé.

Observons néanmoins qu’une activité physique peut être imputée au voleur : ce n’est pas par la pensée qu’il a dupliqué les données. Mais quel est alors précisément l’acte matériel qui, selon la Cour de cassation, a consommé l’infraction de vol ? C’est qu’en effet l’intéressé peut se voir reprocher quatre comportements : l’accès au système informatique, le maintien dans ce dernier, la copie des données qui s’y trouvent, la propagation de celles-ci auprès d’autrui.

De toute évidence, tout d’abord, l’accès et le maintien dans le système sont insuffisants à réaliser la soustraction. Certes, ce faisant, l’individu prend connaissance, sans droit, des informations qui y sont présentes ; mais il apparaît impossible d’admettre, à ce stade précoce, une appréhension au sens de l’article 311-1 du Code pénal. Ce n’est pas, au demeurant, ce que sous-entend l’arrêt rapporté, qui observe que les données ont été « fixées sur différents supports » par l’individu. De tels faits sont en outre probablement indifférents : celui qui serait autorisé à consulter des fichiers informatiques sans cependant avoir la liberté de les reproduire, mais qui les copierait malgré tout, se rendrait lui aussi coupable de vol – ou d’abus de confiance si l’on admet l’existence d’une remise 6 .

Ensuite, la diffusion des données informatiques, après leur enregistrement, est-elle indispensable à la caractérisation de la soustraction ou, au contraire, cette dernière peut-elle ne consister qu’à les copier ? Logiquement – le vol est une infraction simple et instantanée –, la soustraction a lieu dès que le propriétaire est privé de l’effectivité de ses prérogatives : nul besoin d’une transmission consécutive de l’objet du larcin. La solution vaut a priori en l’espèce : le délit s’est commis à l’instant où les données ont été fixées sur les supports 7 .

Toutefois, le vol n’a pas consisté à priver le propriétaire de sa chose, mais à la dupliquer, ce qui empêche de conclure aussi rapidement. D’ailleurs, à chaque fois que le « vol d’informations » a été (implicitement) admis par la Cour de cassation (et c’est le cas une fois de plus : les données ont été « diffusées à des tiers » est-il dit), elle a pris soin de relever leur propagation ou leur utilisation ultérieures 8 . Il est tentant de distinguer dans cette habitude l’exigence d’un complément de matérialité du comportement frauduleux, qui compenserait l’incorporalité de son objet. Mais, de manière plus satisfaisante, l’on peut aussi considérer que, aux yeux de la haute juridiction, la soustraction n’est parfaite qu’à cette condition : jusqu’alors, l’infraction ne serait pas parachevée. Deux explications doctrinales sont alors de nature à étayer l’analyse. La première n’exige pas la communication ou l’emploi des renseignements dérobés, mais s’épanouit lorsque ceux-ci ont lieu : le vol consiste dans cette vision à porter atteinte à l’exclusivité de l’information, laquelle serait ainsi le véritable objet de la soustraction 9  ; si l’information est transmise ou mise en œuvre, l’atteinte se concrétise donc encore plus nettement. La seconde théorie entend le vol d’information comme une atteinte à la valeur économique de celle-ci (si, en amont, elle en a une) : tant, par conséquent, que les données subtilisées demeurent inertes et donc intactes, la soustraction n’est pas totalement formée 10 .

 

II – La pertinence de la qualification de vol

La solution retenue doit, pour commencer, être mesurée justement dans sa portée novatrice et matérielle. D’un côté, plusieurs arrêts se sont déjà montrés favorables à la répression du vol de biens informationnels 11 (timidement) 12  et informatiques  13  (plus clairement) 14  ; mais les faits de la présente affaire procurent il est vrai une netteté toute particulière à la décision commentée. De l’autre, cette dernière ne consacre pas le vol d’informations dans sa plénitude : les renseignements sont en l’espèce des données informatiques, fixées sur un support, donc individualisées, et présentes dans un système informatique approprié, ce qui donne à l’ensemble un certain aspect tangible. Finalement, si de telles données sont assurément incorporelles (dénuées de corps physique propre à une appréhension naturelle), sont-elles complètement immatérielles (c’est-à-dire dépourvues de toute existence objective, à l’instar d’une simple idée) ?

L’observation est de nature à atténuer la critique que l’on peut adresser au concept de vol d’informations, en tant que possibilité de qualifier pénalement ce type de comportement en application de l’article 311-1 du Code pénal 15 . De manière générale, en effet, il tend à diluer les notions de chose et de soustraction, en faisant perdre ainsi à l’incrimination sa physionomie, alors précisément que les diverses infractions contre les biens se distinguent d’après le modus operandi : d’un acte de soustraction seulement (« prendre, enlever, ravir »), le vol risque de se muer en toute appropriation (même sans dépossession) frauduleuse, voire en toute atteinte au patrimoine.

Par ailleurs, l’arrêt contribue à combler le fossé séparant le vol et l’abus de confiance, que la jurisprudence elle-même avait élargi en ouvrant expressément et amplement l’article 314-1 du Code pénal aux biens incorporels, à la faveur de l’emploi légal de la locution « bien quelconque » 16 . Encore récemment, la Cour de cassation a approuvé une condamnation prononcée du chef d’abus de confiance en relevant que « le prévenu a, en connaissance de cause, détourné en les dupliquant, pour son usage personnel, au préjudice de son employeur, des fichiers informatiques contenant des informations confidentielles et mis à sa disposition pour un usage professionnel » 17 . Il y a donc une certaine cohérence à faire évoluer de manière harmonieuse les deux infractions.

Cela étant, la pérennité de la solution retenue par la décision commentée n’est pas assurée. En effet, l’article 323-3 du Code pénal punit « le fait d’introduire frauduleusement des données dans un système de traitement automatisé, d’extraire, de détenir, de reproduire, de transmettre, de supprimer ou de modifier frauduleusement les données qu’il contient. » C’est la loi n° 2014-1353 du 13 novembre 2014 qui a enrichi ce texte des faits consistant à extraire, détenir, reproduire et transmettre 18 . Partant, la ratio legis de l’incrimination a évolué : alors que l’infraction était initialement, au domaine de l’informatique, ce que le délit de destruction, dégradation ou détérioration du bien d’autrui est aux objets, elle prend désormais les traits, également, du recel (détenir, transmettre) et du vol ou de la contrefaçon (extraire, reproduire). Or, précisément, les faits ont consisté en l’occurrence pour le prévenu à s’emparer des données informatiques stockées au sein d’un système dans lequel il s’était introduit et maintenu, bref, sinon à les en « extraire » (terme qui suppose, semble-t-il, de les copier puis de les effacer), du moins à les « reproduire ».

Si l’incrimination établie à l’article 323-3 du Code pénal correspond parfaitement à l’hypothèse du « vol informatique », pourquoi alors n’a-t-elle pas été retenue en l’espèce par la Cour de cassation – étant observé que l’arrêt d’appel, qui date du 5 février 2014, pouvait fort bien être rectifié sur ce point (annulation sans cassation) ? La chose ne peut guère s’expliquer par le caractère récent de la modification, même si le prévenu n’avait aucun intérêt à faire état des nouveaux termes de l’article 323-3 : il prévoit des peines (5 ans d’emprisonnement et 75 000 € d’amende) supérieures à celles du vol (3 ans d’emprisonnement et 45 000 € d’amende). Plus vraisemblablement, mais pour la même raison – et à supposer qu’il faille effectivement la comparer avec le vol –, la version réformée de l’article 323-3 est non rétroactive, puisqu’y sont accolées les sanctions les plus sévères ; les faits demeuraient donc justiciables de la qualification, plus douce, de l’article 311-1.

Mais l’on pourrait plutôt radicalement estimer que la mutation juridique et criminologique ayant affecté l’article 323-3 prouve rétrospectivement que l’extraction et la reproduction de données informatiques n’étaient pas répréhensibles auparavant, ni au titre du vol (trop éloigné dans sa définition légale) 19 , ni au titre du piratage informatique : suivant cette analyse, la chambre criminelle aurait donc dû, d’un côté, repousser le vol comme non constitué et, de l’autre, écarter l’article 323-3 en vertu du principe de non-rétroactivité in pejus.

Quoi qu’il en soit, à l’avenir – pour les faits commis à compter du 15 novembre 2014 –, la « soustraction » de données informatiques ne peut plus être réprimée en application des articles 311-1 et 311-3 du Code pénal : c’est en effet l’article 323-3 qui épouse le mieux les contours de ce genre de faits et qui revêt donc dans cette mesure un caractère spécial ; c’est lui aussi qui fulmine les peines les plus fortes. Le vol (stricto sensu) par voie informatique n’en est pas pour autant complètement mort-né : l’on entrevoit encore, par exemple, la possibilité d’appliquer l’article 311-1 du Code pénal à la manipulation de comptes bancaires (par virement d’un compte à l’autre) – à moins, justement, d’estimer qu’il s’agit de « modifier » frauduleusement des données informatiques au sens de l’article 323-3 !

 

Gazette du Palais, 18 juin 2015 n° 169, P. 8 


1. Ne seront évoquées ni la question du délit d’accès ou de maintien frauduleux dans un STAD (système de traitement automatisé de données), ni celle de la liberté d’expression (Bluetouff étant un bloggeur et journaliste amateur).
2. La restriction de l’accès aux données, bien que défaillante, en est le signe. Mais la question se pose alors de l’appréhension de données informatiques non protégées : le vol est-il nécessairement inconcevable à leur égard ; la sécurisation est-elle la marque indispensable de leur appropriation ? À cet égard, la proposition de loi du député B. Carayon visant à incriminer l’atteinte au secret des affaires (en empruntant à l’abus de confiance et au recel) l’exige (v. J.-C. Saint-Pau, « La pénalisation du secret des affaires », p. 21, spéc. nos 36 et s., in B. Saintourens et J.-C. Saint-Pau (dir.), La confidentialité des informations relatives à une entreprise, Cujas, coll. Actes et Études, 2014).
3. Nonobstant, derechef, la défaillance précitée (« sans le consentement de leur propriétaire » est-il déclaré).
4. Cass. crim., 8 janv. 1979, n° 77-93038, Logabax : Bull. crim., n° 13.
5. Les « supports » évoqués par l’arrêt sont ceux du coupable. Peut-on alors estimer qu’ils sont susceptibles d’être volés par ce dernier (et, si oui, comment et à quel moment) lorsqu’y sont incorporées des données elles-mêmes soustraites (comp. : Cass. crim., 21 janv. 2003, n° 02-83469) ?
6. V. infra l’arrêt cité en note 17.
7. Plus précisément, la Cour de cassation rappelle qu’il y a eu téléchargement des données puis fixation sur des supports. Mais il ne doit pas en être déduit que le téléchargement ne peut à lui seul être qualifié de soustraction : il a bien lieu, lui aussi, sur un support.
8. V. les arrêts cités en notes 12 et 14. La chose semble se vérifier aussi pour l’abus de confiance (v. par ex. Cass. crim., 16 nov. 2011, n°10-87866 : Bull. crim., n° 233 ; D. 2012, p. 137, note G. Beaussonie ; ibid., p. 964, chron. N. Thomassin ; ibid., p. 1698, chron. C. Mascala ; AJ pénal 2012, p. 163, obs. J. Lasserre Capdeville ; Dr. pén. 2012, comm. n° 1, obs. M. Véron ; JCP  G 2012, 322, note S. Detraz ; Gaz. Pal. 14 janv. 2012, p. 40, n° I8296, obs. E. Dreyer ; Rev. sc. crim. 2012, p. 169, obs. J. Francillon).
9. V. V. Peltier, Le secret des correspondances, PUAM, 1999, n° 523.
10. Pour une présentation critique : R. Ollard, La protection pénale du patrimoine, Dalloz, coll. NBT, 2010, n° 524.
11. Cf. G. Beaussonie, « La protection pénale de la propriété sur l’information » : Dr. pén. 2008, étude n° 19.
12. Not. Cass. crim., 12 janv. 1989, n° 87-82265, Bourquin : Bull. crim. n° 14 ; Rev. sc. crim. 1900, p. 507, obs. M.-P. Lucas de Leyssac – Cass. crim., 1er mars 1989, Antoniolli : Bull. crim., n° 100.
13. Cf. J. Devèze, « Les vols de “biens informatiques” » : JCP G 1985, I, 3210.
14. Not. Cass. crim., 4 mars 2008, n° 07-84002 : Comm. com. électr. 2008, comm. n° 25, obs. J. Huet ; D. 2008, p. 2213, note S. Detraz ; Dr. pén. 2008, chron. n° 10, § nos 22 et s., obs. A. Lepage ; Rev. sc. crim. 2009, p. 124, obs. J. Francillon – Cass. crim., 27 avr. 2011, n° 10-86233.
15. V. S. Detraz, R. Ollard et J.-C. Saint-Pau, « Contre l’incrimination du vol d’information », in La réforme du Code pénal et du Code de procédure pénale. Opinio doctorum : Dalloz, coll. Thèmes et commentaires, 2009, p. 97.
16. V. N. Thomassin, « Le bien susceptible d’abus de confiance (réflexion sur la jurisprudence récente) » : D. 2012, p. 964.
17. Cass. crim., 22 oct. 2014, n° 13-82630 : Gaz. Pal. 24 févr. 2015, n° 213z9, p. 35, obs. S. Detraz.
18. V. E. Chauvin et F. Vadillo, « Quand la lutte antiterroriste fait évoluer la notion de vol : les modifications de l’article 323-3 du Code pénal introduites par l’article 16 de la loi du 13 novembre 2014 » : Gaz. Pal. 16 avr. 2015, n° 220m2, p. 6.
19. L’on a vu cependant plus haut que tel n’est pas l’avis de la jurisprudence.

Articles recommandés

Jeudi 18 Mai 2017 - 14:12
Le tribunal correctionnel de Paris a constaté, le 30 mars dernier, l’extinction de l’action publique dans l’affaire Altran. Les huit prévenus personnes physiques et la société, poursuivis pour fausse...
Mardi 2 Mai 2017 - 15:23
Pour les étudiants de L2 et plus La première qualification jurisprudentielle d’un environnement professionnel intimidant, hostile et humiliant en raison de comportements et propos à connotation...
Jeudi 19 Janvier 2017 - 14:32
Pour les étudiants de L2/L3 Le 16 novembre 2016, la chambre des appels correctionnels de Chambéry a confirmé la majorité des dispositions du tribunal correctionnel d’Annecy dans l’affaire opposant...
Mardi 10 Mai 2016 - 14:49
(CA Douai, 12 oct. 2015) À l’arrivée d’une descente de rivière en canoë-kayak inscrite au programme d’un voyage scolaire en Belgique, deux lycéennes sont attirées dans une zone interdite en raison...
Lundi 16 Novembre 2015 - 00:00
L'essentiel La nature juridique de la complicité est sujette à des analyses variables, de nature à influencer son régime. Il est possible à cet égard d’y voir un titre de culpabilité plutôt qu’...
Lundi 8 Juin 2015 - 00:00
(Cass. crim., 16 déc. 2014) Le délit d'abus frauduleux de l'état d'ignorance ou de faiblesse, réprimé par l'article 223-15-2 du Code pénal, exige l'abstention ou l'accomplissement d'un acte...
Jeudi 5 Mars 2015 - 00:00
Le gérant d’une SARL qui commet une faute constitutive d’une infraction pénale intentionnelle, séparable comme telle de ses fonctions sociales, engage sa responsabilité civile à l’égard des tiers à...
Jeudi 5 Février 2015 - 00:00
La chambre criminelle précise les éléments d’appréciation de l’impartialité d’une juridiction répressive et revient sur les conditions de punissabilité du délit de destruction ou dégradation...

Gigya RaaS Login