L'accès au serveur d'une entreprise au moyen d'un moteur de recherche en libre accès sur l'Internet peut donner lieu à des condamnations en référé même en l'absence d'obstacle ou de restriction d'accès.

Rappel de la jurisprudence pénale.

Dans une décision « KITETOA » du 30 octobre 2002, la Cour d'appel de Paris, statuant en matière pénale, avait considéré qu'on ne pouvait pas condamner un internaute qui avait accédé ou s'était maintenu « dans les parties d'un site accessibles par la simple utilisation d'un logiciel de navigation, ces parties de site, qui ne font par définition l'objet d'aucune protection de la part de l'exploitant du site ou de son prestataire de services, devant être réputées non confidentielles à défaut de toute indication contraire et de tout obstacle à l'accès ».

Bref, le délit d'accès ou de maintien frauduleux dans un système de traitement de données n'est pas caractérisé en pareil cas.

L'arrêt ZATAZ

Le raisonnement est différent en matière civile et en particulier lorsque des mesures conservatoires, destinées à faire cesser un « trouble manifestement illicite » sont demandées au juge des référés. Contrairement à ce qu'on a pu lire ici et là l'arrêt ZATAZ ne remet pas en cause la jurisprudence KITETOA.

En l'état actuel de la jurisprudence récente, l'accès sans autorisation à un serveur mal protégé au seul moyen d'un moteur de recherche accessible au public sur le réseau Internet ne constituerait pas un délit pénal, mais permettrait au juge des référés de prendre des mesures conservatoires.

Dans sa décision du 9 septembre 2009, la Cour d'appel de Paris, statuant en référé, a, confirmant l'ordonnance du 26 janvier 2009, condamné Damien BANCAL, qui avait effectué un test de sécurité sur le serveur de la société FLP au moyen d'un moteur de recherche disponible sur le site gegereka.com, à supprimer toutes les données en sa possession et à mettre un terme à ses publications sur ce sujet.

Raisonnement de la Cour d'appel

Selon la Cour d'appel de Paris, l'accès au serveur constitue un « trouble manifestement illicite » lorsqu'il n'est possible que par « des manipulations par un utilisateur averti », en observant - un peu hâtivement il nous semble - que « la mention d'un compte utilisateur « anonymous » ne permet pas de déduire que le serveur FTP de la société FLP était en libre accès ».

La Cour d'appel a précisé que lorsque le maître du système a « manifesté l'intention d'en restreindre l'accès », un accès non autorisé constitue un « trouble manifestement illicite » justifiant des mesures conservatoires en référé.

Or, la Cour d'appel a condamné le testeur alors même que FLP n'avait pas, à lire l'arrêt, « manifesté l'intention » de restreindre l'accès au serveur. Cette manifestation d'intention était-elle implicite ? Quels étaient les éléments permettant de déduire la volonté de restreindre l'accès ? On peut imaginer que la Cour d'appel a considéré que l'accès était nécessairement restreint compte tenu de la nature des données. Mais il est impossible de le savoir à la lecture de l'arrêt.

Portée de la décision ZATAZ

La Cour d'appel de Paris considère qu'il est permis au maître du système d'obtenir en référé la suppression de tout fichier détenu par un tiers qui y aurait accédé sans autorisation, même en présence d'une « faille » aisément détectable au moyen d'un outil accessible au public sur le réseau internet. Il s'en déduit que toute personne effectuant des tests de vulnérabilité doit prendre garde de se préconstituer une preuve (par ex. courriel) de l'autorisation, expresse et préalable, émanant du maître du système, d'accéder au système.