ACTUALITES

Dans une décision du 9 septembre 2009, la Cour d'appel de Paris, statuant en référé, a, confirmant l'ordonnance de référé du 26 janvier 2009, condamné Damien Bancal, qui avait effectué un test de sécurité sur le serveur de la société FLP au moyen d'un moteur de recherche disponible sur gegereka.com, à supprimer toutes les données en sa possession et à mettre un terme à ses publications sur ce sujet. En d'autres termes, en l'état actuel de la jurisprudence, l'accès sans autorisation à un serveur mal protégé au seul moyen d'un moteur de recherche accessible au public sur le réseau Internet ne constitue pas un délit pénal mais permet au juge des référés de prendre des mesures conservatoires.

Raisonnement de la Cour d'appel

Selon la Cour d'appel de Paris, l'accès au serveur constitue un « trouble manifestement illicite » lorsqu'il n'est possible que par « des manipulations par un utilisateur averti », en observant que « la mention d'un compte utilisateur "anonyme" ne permet pas de déduire que le serveur FTP de la société FLP était en libre accès ». La Cour d'appel a précisé que lorsque le maître du système a « manifesté l'intention d'en restreindre l'accès », un accès non autorisé constitue un « trouble manifestement illicite » justifiant des mesures conservatoires en référé.

Or, la Cour d'appel a condamné le testeur alors même que FLP n'avait pas, à lire l'arrêt, « manifesté l'intention » de restreindre l'accès au serveur. Cette manifestation d'intention était-elle implicite ? Quels étaient les éléments permettant de déduire la volonté de restreindre l'accès ? On peut imaginer que la Cour d'appel a considéré que l'accès était nécessairement restreint compte tenu de la nature des données. Mais il est impossible de le savoir à la lecture de l'arrêt.

Portée de la décision

Il est donc permis au maître du système d'obtenir en référé la suppression de tout fichier détenu par un tiers qui aurait accédé sans autorisation au système mal protégé. Toute personne effectuant des tests de vulnérabilité, doit par conséquent se préconstituer une preuve (par exemple courriel) de l'autorisation, expresse et préalable, émanant du maître du système, d'accéder au système.

Rappel de la jurisprudence pénale

Dans une décision « Kitetoa » du 30 octobre 2002, la Cour d'appel de Paris, statuant en matière pénale, avait considéré qu'on ne pouvait pas condamner un internaute qui avait accédé ou s'était maintenu « dans les parties d'un site accessibles par la simple utilisation d'un logiciel de navigation, qui ne font par définition l'objet d'aucune protection de la part de l'exploitant du site ou de son prestataire de services, devant être réputées non confidentielles à défaut de toute indication contraire et de tout obstacle à l'accès ».

Bref, le délit d'accès ou de maintien frauduleux dans un système de traitement de données n'est pas caractérisé en pareil cas.

À propos de l'auteur : Pascal Alix est avocat à la Cour et membre du cabinet Alix.