Cette rubrique a pour objectif d’apporter un éclairage particulier sur un thème tiré de l’actualité du droit des nouvelles technologies.
Novembre 2002
Affaire Kitetoa : Base de données mal sécurisée et délit de piratage informatique
Le site Kitetoa.com dénonce régulièrement les sites commerciaux qui sécurisent mal (voire pas du tout) les données personnelles concernant leurs clients. Ainsi, en 1999, l’animateur du site, Antoine C. avait-il signalé à l’hébergeur du site des magasins Tati une faille de sécurité permettant d’accéder au contenu des bases de données clients du serveur grâce à un simple navigateur. Constatant près d’un an après que les failles détectées et signalées existaient toujours, il publiait sur Kitetoa.com un article relatant la faille du site de Tati. L’information était reprise dans un magazine spécialisé, ce qui amenait la société Tati à porter plainte pour introduction non autorisée dans un système informatique. La 13e chambre du Tribunal de Grande Instance de Paris a reconnu dans une décision en date du 13 février 2002 que la société Tati ne semblait pas avoir respecté l’obligation de sécuriser un fichier de données nominatives (article 226-17 du Code pénal), mais a néanmoins condamné le webmestre de Kitetoa à une amende de 1000 euros avec sursis, sur le fondement de l’article 323-1 du Code pénal (accès et maintien frauduleux dans un système de traitement automatisé de données). La société Tati a été déboutée de sa demande en dommages et intérêts. Suite à un appel du Parquet général en vue de solliciter la relaxe du prévenu, démarche dont il convient de souligner au passage le caractère inhabituel, Antoine C. a été relaxé par décision en date du 30 octobre 2002 de la 12ème Chambre de la Cour d’appel de Paris. Le Tribunal avait reconnu que Monsieur Antoine C. avait seulement utilisé les fonctionnalités de son navigateur, sans effectuer de manipulations frauduleuses. Il avait toutefois considéré que l’accès de manière consciente et délibérée à des données que l’on sait être confidentielles, s’agissant de données nominatives protégées par la loi, constituait le délit pénal considéré. Certes, l’exigence de protection du système ne fait pas partie des conditions de l’incrimination du délit d’intrusion frauduleuse. Mais l’utilisation d’un simple navigateur pour accéder dans un système mal protégé mérite t-il une sanction ? En outre, comment la personne qui découvrirait que ses données nominatives figurent dans un fichier mal sécurisé pourrait-elle porter plainte pour défaut de sécurité sans risquer de se voir reprocher de commettre elle-même un délit ? Comment dans ces conditions exercer le journalisme d’investigation ?
Comme le soulignait le Parquet dans ses réquisitions, « il semble inenvisageable d’instaurer une jurisprudence répressive dont il résulterait une véritable insécurité permanente, juridique et judiciaire, pour les internautes, certes avisés, mais de bonne foi, qui découvrent les failles de systèmes informatiques manifestement non sécurisés ».
Le Parquet considérait que lorsqu’une base de données est, par la faute de celui qui l’exploite, en accès libre par le biais de l’utilisation d’un logiciel de navigation grand public ne nécessitant pas de connaissances particulières ou de manipulations à la limite du piratage, le seul fait d’en prendre connaissance, et même pour un journaliste, un testeur mandaté ou non, d’en réaliser une copie (…), sans intention malveillante (..) ne saurait constituer une infraction. Le parquet considérait donc que l’intention frauduleuse n’était pas caractérisée en l’espèce.
Ce n’est pas exactement la motivation retenue par la Cour d’appel, qui considère qu’on ne peut pas reprocher à un internaute d’accéder ou de se maintenir dans les parties d’un site accessible par la simple utilisation d’un logiciel de navigation, et que « ces parties de site, qui ne font par définition l’objet d’aucune protection de la part de l’exploitant du site ou de son prestataire de services, devant être réputées non confidentielles à défaut de toute indication contraire et de tout obstacle à l’accès (…). La détermination du caractère confidentiel et des mesures nécessaires à l’indication et à la protection de cette confidentialité relevant de l’initiative de l’exploitant du site ou de son mandataire ».
En tout état de cause, au regard de cette jurisprudence, la possibilité d’accéder à des données stockées sur un site avec un simple navigateur, en présence de nombreuses failles de sécurité, n’est pas répréhensible.
En savoir plus
Dossier de Kitetoa.com sur l’affaire Tati :
http://www.kitetoa.com/Pages/Textes/Les_Dossiers/Tati_versus_Kitetoa/index.shtml
