Grâce à une recherche sur internet, un internaute accède à des données confidentielles fortuitement en libre accès sur le site d’une administration. Est-il pénalement responsable s’il télécharge ces documents sensibles en l’absence de tout acte de piratage informatique ?
Oui dès lors qu’il s’est volontairement maintenu dans un système de traitement automatisé après avoir découvert que celui-ci était protégé et a soustrait des données qu’il a utilisées sans le consentement de leur propriétaire. La circonstance que l’intéressé n’ait pas eu besoin de pirater des codes pour accéder aux documents sensibles ne constitue pas une cause d’exonération. Se rend ainsi coupable de maintien frauduleux dans un système de traitement automatisé de données et de vol au préjudice de l’Agence nationale de sécurité sanitaire de l’alimentation, de l’environnement et du travail (ANSES), un internaute qui télécharge des données confidentielles qui se sont retrouvées fortuitement en libre-accès à la suite d’une défaillance technique du site. Attention : si l’internaute qui profite d’une défaillance de sécurité engage sa responsabilité pénale, cela n’exonère pas pour autant le responsable du traitement de données personnelles de ses propres responsabilités, celui-ci étant tenu de prendre toutes précautions utiles pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès.
Grâce une recherche sur Google, un internaute arrive par erreur au cœur de l’extranet de l’ANSES, découvrant de nombreux documents confidentiels en libre-accès. Il télécharge l’ensemble de ces données sur son serveur afin de les utiliser pour argumenter son article sur la légionellose et en fixe une partie sur différents supports pour les diffuser à des tiers. L’internaute reconnait avoir parcouru l’arborescence des répertoires du site et être remonté jusqu’à la page d’accueil où il s’est aperçu de la présence d’un contrôle d’accès.
Il est poursuivi pénalement pour maintien frauduleux dans un système automatisé de données et pour vol.
Pour sa défense l’internaute objecte que c’est une défaillance du système de protection de l’ANSES qui a rendu l’accès libre à ces données et qu’il s’est contenté d’utiliser un moteur de recherche
grand public sans acte de piratage.
Peu importe répond la Cour de cassation qui confirme sa condamnation à 3000 euros d’amende dès lors qu’il s’est maintenu dans un système de traitement automatisé après avoir découvert que celui-ci était protégé et qu’il a soustrait des données qu’il a utilisées sans le consentement de leur propriétaire.
