Cass. Crim. 16 janvier 2018 n°16-168
La Cour de cassation confirme que la personne qui accède à un STAD, à l’insu des victimes et en sachant qu’elle n’y était pas autorisée, en l’occurrence via un keylogger, se rend coupable de l’infraction prévue à l’article 323-1 du Code pénal.
Pour rappel, l’article 323-1 du Code pénal dispose que « le fait d’accéder ou de se maintenir, frauduleusement, dans tout ou partie d’un système de traitement automatisé de données est puni de deux ans d’emprisonnement et de 60 000 € d’amende. »
L’article 323-3-1 précise que « le fait, sans motif légitime, notamment de recherche ou de sécurité informatique, d’importer, de détenir, d’offrir, de céder ou de mettre à disposition un équipement, un instrument, un programme informatique ou toute donnée conçus ou spécialement adaptés pour commettre une ou plusieurs des infractions prévues par les articles 323-1 à 323-3 est puni des peines prévues respectivement pour l’infraction elle-même ou pour l’infraction la plus sévèrement réprimée. ».
En l’espèce, un médecin avait installé un keylogger (à savoir un enregistreur de frappe, en l’occurrence matériel : il s’agit souvent d’un câble intercalé entre le port du clavier et le clavier) sur les ordinateurs de deux autres praticiens du service d’un CHU. La mise en place d’un tel dispositif permettait ainsi au médecin d’espionner la frappe du clavier et de capter des données de ordinateurs « surveillés ».
Après l’ouverture d’une enquête et la réalisation d’une perquisition fructueuse à son domicile, le médecin concerné a fini par reconnaître l’achat du keylogger litigieux et son utilisation en vue de l’aider dans un litige professionnel pendant devant l’Ordre des médecins.
Poursuivi pour délits d’accès frauduleux à tout ou partie d’un système de traitement automatisé de données, d’atteinte au secret des correspondances émises par voie électronique et de détention sans motif légitime d’équipement, d’instrument de programme ou données conçus ou adaptés pour une atteinte au fonctionnement d’un système de traitement automatisé, le médecin prévenu a été condamné en 1ère instance, condamnation confirmée en appel.
Pour dire établis ces délits, les juges d’appel ont retenu que « la détention d’un keylogger, sans motif légitime par [ce médecin] que celui-ci ne conteste pas avoir installé sur l’ordinateur des deux [médecins en question] pour intercepter à leur insu, par l’espionnage de la frappe du clavier les codes d’accès et accéder aux courriels échangés par les deux praticiens caractérisent suffisamment sa mauvaise foi et les délits tant dans leur élément matériel qu’intentionnel ».
Les juges avaient ajouté « que les motifs avancés par le prévenu pour justifier la détention d’un équipement conçu ou adapté pour une atteinte frauduleuse à un système de traitement automatisé de données, à savoir la défense de sa situation professionnelle et sa réputation, son indifférents à la caractérisation des infractions, puisque l’autorisation de détention prévue par l’article 323-3-1 du Code pénal autorisant un tel équipement, se limite aux seules personnes habilitées à assurer la maintenance et la sécurité d’un parc informatique ».
Par un arrêt du 16 janvier 2018, la Cour de cassation saisie d’un pourvoi a confirmé cette solution.
Cette jurisprudence est donc riche d’enseignements en ce qu’elle :
- confirme que la détention et l’utilisation d’un keylogger pour accéder à un STAD à l’insu des victimes, en étant conscient de l’absence d’autorisation à un tel accès, sont pénalement sanctionnées ;
- précise que le motif légitime « notamment de recherche ou de sécurité informatique » édictée à l’article 323-3-1 du Code pénal ne peut bénéficier qu’aux seules personnes habilités à assurer la maintenance et la sécurité du système informatique