Gouvernance
L’affaire Bluetouff : la Cour de cassation confirme le vol de données informatiques
Par La rédaction, publié le 10 août 2015
LES FAITS
Le 20 mai 2015, le blogueur connu sous le nom de Bluetouff a vu sa condamnation pour maintien frauduleux dans un système de traitement automatisé des données et vol confirmée par la Cour de cassation. Il avait téléchargé des documents, librement accessibles, trouvés en surfant sur Google.
Pour la Cour, Bluetouff s’est bien « maintenu dans un système de traitement automatisé après avoir découvert que celui-ci était protégé et a soustrait des données qu’il a utilisées sans le consentement de leur propriétaire ». Comme nous l’évoquions dans notre article commentant la décision rendue par la Cour d’appel de Paris le 5 février 2014 (IT for Business n° 2182), cet arrêt était particulièrement attendu, notamment sur la délicate question de l’application de l’article 311-1 du Code pénal réprimant la « soustraction frauduleuse de la chose d’autrui » au vol de fichiers informatiques.
En effet, peut-on voler une donnée telle qu’un fichier informatique alors que, d’une part, une donnée n’est pas « une chose », mais un élément immatériel distinct de son support de stockage et que, d’autre part, son propriétaire conserverait toujours le fichier à sa disposition et n’en serait donc pas dépossédé ? La jurisprudence n’y semblait pas favorable et de nombreuses réserves de la doctrine étaient émises au regard notamment du principe de l’interprétation stricte de la loi pénale. La Cour de cassation vient de trancher cette question en rendant une décision publiée par laquelle elle confirme que l’infraction de vol prévue par l’article 311-1 du Code pénal peut parfaitement s’appliquer aux données immatérielles. Ainsi, le téléchargement et la copie de données sont assimilables à une soustraction et peuvent donc être qualifi és de « vol ». À noter que le bloggeur a annoncé son intention de saisir la Cour Européenne des Droits de l’Homme.
L’intérêt de cette décision, qui met certes un terme à un large débat doctrinal, est toutefois à relativiser puisqu’elle arrive 7 mois après l’adoption par le législateur d’un texte spécifi que incriminant l’équivalent du vol de données informatiques sans toutefois recourir à la qualification de vol. En effet, la Loi de lutte contre le terrorisme du 13 novembre 2014 a modifi é l’article 323-3 du Code pénal et réprime désormais, outre le fait d’introduire, de modifier et de supprimer, le fait « d’extraire, de détenir, de reproduire, de transmettre » frauduleusement des données issues d’un système de traitement automatisé de données. Les faits de l’affaire Bluetouff sont antérieurs à cette modification législative qui, plus sévère, n’est pas rétroactive. En effet, en l’espèce, alors que Bluetouff a été condamné à 3 000 € d’amende, il s’exposait à une peine de 3 ans d’emprisonnement et de 45 000 € d’amende prévue par l’article 311-3 du Code pénal. Or, la loi du 13 novembre 2014 qui sanctionne plus sévèrement le vol de données informatiques, prévoit jusqu’à 5 ans d’emprisonnement et 75 000 € d’amende. Par ailleurs, la commission « à l’encontre d’un système de traitement automatisé de données à caractère personnel mis en oeuvre par l’État » est une circonstance aggravante sanctionnée par une peine allant jusqu’à 7 ans d’emprisonnement et 100 000 € d’amende.
CE QU’IL FAUT RETENIR
La Cour de cassation entérine tardivement la répression du vol de données par l’application de l’article 311-1 du Code pénal, alors qu’un texte spécifi que plus sévère, l’article 323-3 du Code pénal, a récemment été adopté permettant de sanctionner la copie frauduleuse de données.