L'absence de protection du système n'est pas un obstacle à l'incrimination
Certes, le non-respect de "l'obligation de sécurité des données personnelles" prévue par l'article 29 de la loi du 6 janvier 1978 est sanctionné par l'article 226-17 du nouveau Code pénal de cinq ans d'emprisonnement et de 300 000 euros d'amende. Mais dans une décision du 5 avril 1994 (Cour d'appel de Paris, 5 avril 1994, Les Petites Affiches, 1995, n° 80, p. 13, note Alvarez), la Cour d'appel de Paris a précisé que "pour être punissable, cet accès ou ce maintien doit être fait sans droit et en pleine connaissance de cause, étant précisé à cet égard qu'il n'est pas nécessaire pour que l'infraction existe que l'accès soit limité par un dispositif de protection..." et notamment que l'accès soit manifestement restreint à des personnes autorisées.
L'absence de protection du système, voire la facilité d'accès à celui-ci ne met pas obstacle à l'infraction, dès lors que l'accès n'est pas accidentel et que la personne qui accède au système ne cherche pas à s'y maintenir sans droit. Cependant, dans une affaire célèbre opposant la société Tati à l'administrateur du site Internet Kitetoa.com, la Cour d'appel de Paris est venue, le 30 octobre 2002 (voir détails sur www.legalis.net), nuancer sa jurisprudence antérieure. La Cour d'appel de Paris a réformé le jugement qui avait condamné le journaliste un peu trop curieux et a considéré qu'on ne pouvait pas reprocher à un internaute d'accéder ou de se maintenir dans les parties d'un site accessible par la simple utilisation d'un logiciel de navigation, et que "ces parties de site, qui ne font par définition l'objet d'aucune protection de la part de l'exploitant du site ou de son prestataire de services, devant être réputées non confidentielles à défaut de toute indication contraire et de tout obstacle à l'accès (...). La détermination du caractère confidentiel et des mesures nécessaires à l'indication et à la protection de cette confidentialité relevant de l'initiative de l'exploitant du site ou de son mandataire ".
La révélation de failles de sécurité ne permet pas de se prévaloir des règles en vigueur
En conséquence, en l'absence de mise en place d'une protection du système ou, lorsqu'il s'agit d'un serveur Internet, de codes et mots de passe en restreignant utilement l'accès, l'opération pourrait ne pas être considérée comme "frauduleuse" au sens de la loi. Mais on déconseillera toutefois aux aventureux une telle "visite", car, par hypothèse, on ne connaît pas (sauf à l'intérieur de l'entreprise) par avance les protections permettant de contrôler et de restreindre l'accès.
Les raisons pour lesquelles une personne accède sans droit ni autorisation à un système sont, en droit strict, parfaitement indifférentes. La révélation de failles de sécurité ne permet pas, a priori, de se prévaloir des règles résultant de l'arrêt du 30 octobre 2002, dans la mesure où cette jurisprudence ne trouve à s'appliquer qu'en l'absence de toute protection du système pour accéder à des données "réputées non confidentielles à défaut de toute indication contraire et de tout obstacle à l'accès" (notamment par code et/ou mot de passe), au moyen "d'un logiciel (...) grand public".
Il est acquis que le contournement de tout dispositif de sécurité, même insuffisant ou défaillant, justifie l'application de l'article 323-1, alinéa 1er, du nouveau Code pénal.