Le vol d’informations
Par arrêt du 28 juin 2017, la Chambre criminelle de la Cour de cassation a précisé que « le libre accès à des informations personnelles sur un réseau informatique d’une entreprise n’est pas exclusif de leur appropriation frauduleuse par tout moyen de reproduction ».
Cette décision de jurisprudence relance le débat sur la question délicate du vol d’informations.
Le contenu de l’arrêt du 28 juin 2017
Dans l’arrêt d’espèce, l’associé d’un cabinet d’avocat avait récupéré, sur le serveur informatique commun, des courriers d’une autre associée du cabinet, et les avait transmis au bâtonnier de l’Ordre des Avocats.
Poursuivi pour vol, il a été condamné en première instance, puis en appel. Il a formé un pourvoi en cassation, invoquant un défaut de soustraction frauduleuse (en raison du libre accès aux courriers et de la non-dépossession de l’émettrice). La Chambre criminelle a toutefois rejeté le pourvoi et approuvé l’arrêt d’appel.
Les juges ont considéré que seule la plaignante avait le pouvoir de disposer desdits courriers, ayant ainsi fait l’objet d’une appropriation frauduleuse. Le prévenu les avait consultés et reproduits à l’insu et contre le gré de la victime, à des fins étrangères aux intérêts du cabinet d’avocat.
À cette occasion, la Chambre criminelle a précisé que « le libre accès à des informations personnelles sur un réseau informatique d’une entreprise n’est pas exclusif de leur appropriation frauduleuse par tout moyen de reproduction. »
La consécration d’une évolution jurisprudentielle
Cette décision s’inscrit dans une tendance jurisprudentielle d’admission progressive du vol d’informations.
À l’origine, les juges ne retenaient le vol d’informations qu’en cas d’appréhension du support matériel de l’information. Ils condamnaient alors l’auteur qui avait « appréhendé frauduleusement [les documents] pendant le temps nécessaire à leur reproduction »[1].
Dans un second temps, la Cour de cassation, confirmant des arrêts de condamnation pour vol du support et de leur contenu informationnel, se gardait toutefois d’affirmer qu’une information était un objet de propriété, susceptible de vol[2].
Dans un arrêt plus récent du 20 mai 2015[3], la Chambre Criminelle a approuvé un arrêt condamnant pour vol un individu ayant téléchargé et copié des données confidentielles, conservées sous forme numérique.
La Haute juridiction avait retenu que le prévenu avait « soustrait des données qu’il a utilisées sans le consentement de leur propriétaire » et avait ainsi admis que des données informatiques, sans support physique, pouvaient faire l’objet d’une soustraction.
Ainsi, l’arrêt de la Chambre criminelle du 28 juin 2017 consacre l’existence du vol d’informations, même lorsque la personne était autorisée à accéder aux documents ayant fait l’objet de la soustraction frauduleuse.
L’évolution des notions de « chose » et de « soustraction »
Une telle avancée jurisprudentielle suscite des interrogations quant aux notions de « chose » et de « soustraction », expressément visées par l’article 311-1 du code pénal.
D’une part, la notion de « chose » induit, au sens classique du terme, une dimension matérielle. L’admission du vol d’informations suppose toutefois que celles-ci, bien qu’immatérielles, sont des « choses », au sens de l’article susvisé.
D’autre part, la notion de « soustraction » suppose, classiquement, une interversion, même momentanée, de la possession. Or, dans un vol d’informations, il n’y a aucune dépossession, l’information étant seulement partagée. La soustraction deviendrait ainsi une simple prise de possession à l’insu ou contre le gré du propriétaire.
L’extension de ces deux notions tend à une dématérialisation de l’élément matériel du vol, source d’une certaine insécurité juridique.
Une articulation à déterminer avec l’article 323-3 du Code pénal
La portée de la décision d’espèce reste à déterminer dans la mesure où les faits avaient été commis antérieurement à l’entrée en vigueur de la loi n°2014-1353 du 13 novembre 2014 (plus sévère que la loi ancienne), réprimant l’extraction frauduleuse de données d’un système de traitement automatisé.
À l’heure actuelle, l’article 323-3 du code pénal (modifié par la loi n°2015-912 du 24 juillet 2015) prévoit que « Le fait d’introduire frauduleusement des données dans un système de traitement automatisé, d’extraire, de détenir, de reproduire, de transmettre, de supprimer ou de modifier frauduleusement les données qu’il contient est puni de cinq ans d’emprisonnement et de 150 000 € d’amende. ».
Cette infraction est susceptible de mettre un terme aux condamnations – juridiquement douteuses – pour vol d’informations. Il n’est d’ailleurs pas à exclure que la formule de la Cour de cassation, selon laquelle le libre accès aux informations personnelles n’est pas exclusif de leur appropriation frauduleuse, ait vocation à s’appliquer dans le cadre de cette nouvelle incrimination.
[1] Cass., Crim., 8 janvier 1979, Logabax, n°77-93.038.
[2] Notamment, Cass., Crim., 12 janvier 1989, Bourquin, n°87-82.265 ; Cass., Crim., 1ier mars 1989, Antoniolli n°88-82.815 ; Cass., Crim., 9 sept.2003, n°02-87.098 ; Cass., Crim., 4 mars 2008, n°07-84.002
[3] Crim., 20 mai 2015, n°14-81.336 (introduction du prévenu sur un site extranet protégé par un contrôle d’accès à la suite d’une défaillance technique)