Journal d'investigation en ligne et d'information‑hacking
Édito
par Antoine Champagne - kitetoa

Tous "pirates" !

La Cour d’appel de Paris avait à juger mercredi un des journalistes de Reflets. Sur plainte de l’ANSES, il était poursuivi pour accès et maintien dans un système de traitement automatisé de données et vol de données. Voici ce qu’il avait fait : partant d’une recherche Google, il était arrivé sur une page de l’ANSES proposant au téléchargement une longue liste de documents. Le répertoire indexé par Google ne mentionnait aucunement qu'il s'agissait d'un espace privé.

La Cour d’appel de Paris avait à juger mercredi un des journalistes de Reflets. Sur plainte de l’ANSES, il était poursuivi pour accès et maintien dans un système de traitement automatisé de données et vol de données. Voici ce qu’il avait fait : partant d’une recherche Google, il était arrivé sur une page de l’ANSES proposant au téléchargement une longue liste de documents. Le répertoire indexé par Google ne mentionnait aucunement qu'il s'agissait d'un espace privé. Si une authentification était bien présente sur l'accueil la partie indexée était elle bien publique, à tel point, qu'elle était indexée par un moteur de recherche grand public. Ce n'est pas parce qu'il y a une authentification à l'accueil d'un site que toutes les parties du site sont forcément destinées à être privées.

Finalement, la question qui est posée à la Cour est la suivante : des documents indexés par un moteur de recherche grand public sont-ils publics ?

Dit autrement, suffit-il pour un administrateur de décider, dans sa tête, que des documents sont privés, pour qu’ils le soient ? Même s’il ne protège pas leur accès, même s’il n’indique nulle part sur la page accessible à tous, que ces documents sont privés ?

Si l’ANSES a bien porté plainte, elle ne s’est pas constituée partie civile. Elle estime donc, et elle l’a dit clairement en première instance, qu’elle n’a pas subi de préjudice.

Il est en revanche un concept de droit que tout le monde semble oublier aujourd’hui : « nul ne peut se prévaloir de sa propre turpitude ». En d’autres termes, l’ANSES ne peut pas rechercher la condamnation d’un internaute qui accède à des données qu’elle voudrait protégées mais qu’elle a laissées non protégées par négligence (ce qui est pénalement réprimé plus lourdement que l’accès frauduleux).

Ce concept avait été rappelé dans une affaire similaire, par jugement en date du 13 février 2002, lorsque le tribunal correctionnel de Paris (13ème chambre) m’avait déclaré coupable d'accès frauduleux dans un système de traitement automatisé de données, et condamné à une amende de 1.000 euros avec sursis. Le tribunal avait en revanche débouté la partie civile, TATI, de sa demande, en application de la règle "nemo auditur" (nul ne peut alléguer sa propre turpitude).

Si la Cour d’appel devait décider le 5 février d’une condamnation, elle créerait une incertitude juridique pour tous les internautes. S’ils venaient à cliquer sur un lien proposé par Google et que l’administrateur du serveur cible voulait porter plainte pour accès et maintien dans un STAD, il pourrait s’appuyer sur cette jurisprudence.

C’est d’ailleurs pourquoi, le 3 avril 2002, le parquet général relevait appel du jugement de première instance me concernant et il précisait :

« _Cet appel a pour objet de faire réformer par la Cour la décision des premiers juges, de solliciter la relaxe du prévenu, en suscitant la mise en œuvre d'une jurisprudence mettant fin à l'insécurité juridique qui pourrait résulter d'interprétations erronées des dispositions pénales relatives à l'informatique.  (…) Il semble inenvisageable d'instaurer une jurisprudence répressive dont il résulterait une véritable insécurité permanente, juridique et judiciaire, pour les internautes, certes avisés, mais de bonne foi, qui découvrent les failles de systèmes informatiques manifestement non sécurisés. _ »

La 12 ème  chambre, section A de la Cour d’appel de Paris avait statué en faveur de ma relaxe le 30 octobre 2002 et précisait :

« Considérant que, comme l'appelant le soutient à bon droit dans ses réquisitions écrites d'appel aux fins de relaxe, il ne peut être reproché à un internaute d'accéder aux, ou de se maintenir dans les parties des sites qui peuvent être atteintes par la simple utilisation d'un logiciel grand public de navigation, ces parties de site, qui ne font par définition l'objet d'aucune protection de la part de l'exploitant du site ou de son prestataire de services, devant être réputées non confidentielles à défaut de toute indication contraire et de tout obstacle à l'accès; que même s'agissant de données nominatives, l'internaute y accédant dans de telles conditions ne peut inférer de leur seule nature qu'elles ne sont pas publiées avec l'accord des intéressés, et ne peut dès lors être considéré comme ayant accédé ou s'étant maintenu frauduleusement dans cette partie du système automatisé de traitement de données, la détermination du caractère confidentiel (en l'espèce non discuté mais qui n'a donné lieu à aucune utilisation en pratique préjudiciable) et des mesures nécessaires à l'indication et à la protection de cette confidentialité relevant de l'initiative de l'exploitant du site ou de son mandataire; que dès lors les accès et maintien d'Antoine CHAMPAGNE dans des parties nominatives du site TATI ne peuvent être qualifiés de frauduleux, et qu'il convient de déclarer le prévenu non coupable des faits qui lui sont reprochés et de le renvoyer des fins de la poursuite ».

Un arrêt inverse dans l’affaire qui oppose Reflets et son journaliste serait une double attaque. Une attaque contre les internautes en leur imposant une incertitude juridique grave (une majorité des serveurs sont mal protégés sur Internet). Mais aussi une attaque claire contre le journalisme d’investigation en ligne. Il faudrait dès lors considérer que tout document public est en fait privé et n’a pas vocation à être publié.


Chers lecteurs, vos dons à Reflets ne sont pas faits en vain. Comme vous l'imaginez, un procès est coûteux.

0 Commentaires
Une info, un document ? Contactez-nous de façon sécurisée