Dans le cadre de son partenariat avec la Smacl, Villes de France publie régulièrement un commentaire juridique issu de l’Observatoire des risques juridiques de la vie territoriale. La question posée par cette nouvelle jurisprudence de la Cour de Cassation peut concerner les collectivités territoriales aussi bien que les administrations d’Etat. Grâce à une recherche sur internet, un internaute accède à des données confidentielles fortuitement en libre accès sur le site d’une administration. Est-il pénalement responsable s’il télécharge et publie ces documents sensibles en l’absence de tout acte de piratage informatique ?
Documents en libre-accès par erreur
Grâce une recherche sur Google, un internaute peut arriver par erreur au cœur de l’extranet d’une administration, découvrant de nombreux documents confidentiels en libre-accès. Il télécharge l’ensemble de ces données sur son serveur afin de les utiliser pour argumenter un article en ligne et en fixe une partie sur différents supports pour les diffuser à des tiers. L’internaute reconnait avoir parcouru l’arborescence des répertoires du site et être remonté jusqu’à la page d’accueil où il s’est aperçu de la présence d’un contrôle d’accès. Il est poursuivi pénalement pour maintien frauduleux dans un système automatisé de données et pour vol. Pour sa défense l’internaute objecte que c’est une défaillance du système de protection qui a rendu l’accès libre à ces données et qu’il s’est contenté d’utiliser un moteur de recherche grand public sans acte de piratage.
Peu importe répond la Cour de cassation qui confirme sa condamnation à 3 000 euros d’amende dès lors qu’il s’est maintenu dans un système de traitement automatisé après avoir découvert que celui-ci était protégé et qu’il a soustrait des données qu’il a utilisées sans le consentement de leur propriétaire.
Ce qu'il faut en retenir
- Le maintien dans un système informatique après avoir découvert que celui-ci est protégé est frauduleux, alors même que l’accès s’est fait via un moteur de recherche, et que la sécurité du site est défaillante.
- Constitue un vol le fait de télécharger des données et des fichiers informatiques sans le consentement de leur propriétaire.
- Cette décision peut tout à fait être transposée à un système automatisé de données géré par une collectivité. Victime directe de l’infraction, la collectivité peut alors porter plainte et se constituer partie civile.
- Attention toutefois s’agissant des traitements automatisés de données à caractère personnel. La loi dite « Informatique et Libertés » impose, en son article 34, une obligation de sécurité à la charge du responsable de traitement : « le responsable de traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. » Si la responsabilité pénale de l’internaute peut être retenue, des sanctions administratives et pénales peuvent également être encourues par le responsable de traitement.
Cour de cassation, 20 mai 2015, N° 14-81336   - Jurisprudence commentée sur www.observatoire-collectivites.org