19 jan 14:39

Arrêt CA Chambéry, 16 nov. 2016, no 16/00045

Extrait de l'arrêt de la CA Chambéry du 16 nov. 2016 (no 16/00045)

Sur les faits d’accès frauduleux dans un système de traitement automatisé de données reprochées à M. X

L’accès frauduleux à un système de traitement automatisé de données que réprime l’article 323-1 du Code pénal est constitué dès lors qu’une personne non habilitée pénètre dans un système de traitement automatisé de données tout en sachant qu’elle est dépourvue d’autorisation.

En l’espèce, aucune manœuvre frauduleuse n’a été mise en œuvre par le prévenu pour accéder au contenu des messages et fichiers litigieux. Il a accédé dans un système de traitement automatisé de données, mais cela n’a pas été fait frauduleusement, dès lors que ces fichiers lui étaient en libre accès, et qu’il n’a bénéficier ni d’une défaillance technique, ni de la rupture d’un contrôle d’accès. Il faisait partie des personnes autorisées à accéder à cette base de données, même si c’était à des fins seulement techniques, en sorte qu’aucune fraude n’est caractérisée à son encontre.

En l’absence d’un élément constitutif de l’infraction, M. X sera relaxé de ce chef de prévention.

Sur les faits de maintien frauduleux dans un système de traitement automatisé reprochés à M. X.

Le maintien illicite au sein d’un système de traitement automatisé de données, et, à ce titre, le serveur d’une entreprise constitue un tel système, est caractérisé lorsque la personne habilitée à y accéder s’y est maintenue en connaissance de cause ou lorsqu’elle s’y est maintenue volontairement tout en sachant qu’elle n’en avait pas le droit.

En l’espèce, le prévenu, après avoir accédé au serveur s’y est maintenu et a entrepris des recherches de documents alors qu’il n’était ni habilité, ni pourvu d’une autorisation pour procéder à une telle opération. De ce fait, il a outrepassé les limites de sa fonction d’administrateur de l’infrastructure réseau grâce à laquelle il avait accès aux serveurs et boîtes mail de la société TEFAL. Il s’est, de plus, emparé d’informations confidentielles auxquelles il n’avait pas légitimement accès. Il a d’ailleurs admis qu’il s’était maintenu, en toute connaissance de cause, dans le répertoire propre aux « Ressources Humaines » de la société. Il a déclaré « j’ai décidé de consulter sur serveurs de fichiers RUMI7NT des documents qui pouvaient me concerner. Ces serveurs de fichiers abritent toutes les données des documents partagés de la société TEFAL. Le même jour, au cours de ma recherche, j’ai également découvert un document « .msg », j’ai ouvert ce document, je sais très bien que je n’aurais pas dû… J’ai également copié ce document, comme précédemment ».

Il est ainsi démontré que le prévenu avait conscience de son maintien irrégulier dans le système de traitement automatisé de données visitées dès lors qu’il savait que le serveur était protégé et qu’il a profité de ses fonctions d’administrateur réseau pour y pénétrer, puis pour en soustraire des données à l’évidence confidentielles, données qu’il a conservées par devers lui, sans le consentement de leur propriétaire et à des fins personnelles.

Sa mauvaise foi et son intention de nuire sont d’autant plus caractérisées qu’il a enregistré de nombreux documents sans en connaître le contenu et qu’il les a conservés même après les avoir ouverts, consultés et s’être rendu compte qu’ils ne le concernaient pas.

Le caractère frauduleux de tels agissements peut aussi être déduit du fait que l’auteur s’est maintenu sur le serveur en violation de la charte informatique signée par lui qui définit les règles d’utilisation et de sécurité et celles de maintenance, surveillance et contrôle, charte dont il connaissait les termes et qu’il a signée.

La culpabilité de M. X sera donc confirmée du chef de maintien frauduleux dans un système de traitement automatisé de données et fichiers informatiques au préjudice de la société TEFAL.

Sur les faits d’atteinte au secret des correspondances émises par voie électronique reprochés à M. X

L’article 226-15 alinéa 2 du Code pénal sanctionne le fait d’intercepter des communications, notamment au moyen d’un artifice ou d’un stratagème, de les détourner, de les utiliser ou de les divulguer. Ces agissements, pour être répréhensibles, doivent être commis de mauvaise foi, c’est-à-dire avec la conscience par leur auteur que la communication ne lui était pas destinée.

En l’espèce, les investigations ont établi que M. X qui, au demeurant ne le conteste pas, a intercepté, détourné, utilisé et transmis plusieurs documents et courriers électroniques parmi lesquels un courrier électronique du 28 mars 2013 à 18 heures 01 adressé par … à … L’expertise informatique réalisée par l’agence de sécurité informatique, LEXSI a révélé que M. X. avait aussi consulté les pièces jointes de divers courriers électroniques adressés le 30 avril 2013 à 14 heures 36 par le … et le 4 décembre 2013 à 11 heures 36 par … à …

Le prévenu a confirmé qu’il avait récupéré ces documents après s’être introduit dans le répertoire « RH » du système automatique de données, à la recherche de documents et d’informations relatifs à sa personne. Il a convenu qu’il a adressé plusieurs de ces documents, de manière anonyme, à … et ce, à partir d’une boîte mail spécifique créée pour cet envoi, boîte qui a été supprimée ensuite.

Il soutient, cependant, avoir agi afin de dénoncer des faits qu’aurait commis la société TEFAL et invoque à son profit le statut de lanceur d’alerte. Il argue également sa bonne foi.

Aux termes de l’article L. 1132-3 du Code du travail, créé par la loi du 6 décembre 2013 et entré en vigueur le 8 décembre 2013, « aucune personne ne peut être écartée d’une procédure de recrutement ou de l’accès à un stage ou à une période de formation en entreprise, aucun salarié ne peut être sanctionné, licencié ou faire l’objet d’une mesure discriminatoire, directe ou indirecte, notamment en matière de rémunération, au sens de l’article L. 3221-3, de mesures d’intéressement ou de distribution d’actions, de formation, de reclassement, d’affectation, de qualification, de classification, de promotion professionnelle, de mutation ou de renouvellement de contrat, pour avoir relaté ou témoigner de bonne foi de faits constitutifs d’un délit ou d’un crime dont il aurait eu connaissance dans l’exercice de ses fonctions. En cas de litige relatif à l’application du premier alinéa, dès lors que la personne présente des éléments de fait qui permettent de présumer qu’elle a relaté ou témoigné de bonne foi de faits constitutifs d’un délit ou d’un crime, il incombe à la partie défenderesse, au vu des éléments, de prouver que sa décision est justifiée par des éléments objectifs étrangers à la déclaration ou au témoignage de l’intéressé. Le juge forme sa conviction après avoir ordonné, en cas de besoin, toutes les mesures d’instruction qu’il estime utiles ».

À l’examen de ces dispositions, il convient de retenir que le champ d’application de cet article est strictement limité au regard des relations de travail entre employeurs et salariés de droit privé, conformément à l’article L.III 1-1 du Code du travail. Il convient aussi de retenir que le fait dénoncé doit nécessairement être constitutif d’un délit ou d’un crime et non « susceptible de constituer un délit ou un crime ». En l’espèce, il n’est nullement démontré que les agissements de la société TEFAL révélés par les documents litigieux caractérisent une quelconque infraction.

En outre, la protection contre les discriminations du lanceur d’alerte prévue par l’article L. 1132-3-3 du Code du travail ne peut constituer une nouvelle cause d’irresponsabilité pénale, dès lors que cet article ne prévoit pas, au-delà d’une protection fonctionnelle, un fait justificatif des infractions que le lanceur d’alerte pourrait commettre.

Enfin, aucune cause d’irresponsabilité ne saurait justifier les agissements du prévenu, celui-ci ne pouvant bénéficier, notamment du fait justificatif tiré de l’exercice des droits de la défense.

De même, M. X ne peut invoquer un tel fait justificatif, dès lors que, par son intrusion et son maintien et par la violation des correspondances réalisées dans le serveur de la société TEFAL, il a eu connaissance d’informations qui ne le concernaient pas et n’étaient pas nécessaires à l’exercice de sa défense, dans un cadre prud’homal.

Comme il a été démontré supra, le prévenu a agi de mauvaise foi et avec l’intention de nuire en sorte qu’il n’a pas agi de manière désintéressée. Ceci résulte de la circonstance qu’il s’est maintenu frauduleusement, en parfaite connaissance de cause, dans un système automatisé de données, à la recherche de documents relatifs à sa personne, qu’il a enregistré de très nombreux documents dont il ne connaissait pas même le contenu, qu’après les avoir ouverts et en avait pris connaissance, il les a conservés, puis les a transmis, de manière anonyme à l’inspectrice du travail à partir d’une boîte mail spécialement créée à cet effet.

C’est donc avec raison que le premier a retenu la culpabilité de M. X. de ce chef de prévention.

Sur les faits de recel de bien provenant d’un délit reproché à Mme L.

Aux termes de l’article 321-1 du Code pénal, le recel est le fait de dissimuler, de détenir ou de transmettre une chose ou de faire office d’intermédiaire afin de la transmettre en sachant que cette chose provient d’un crime ou d’un délit.

L’intention frauduleuse pour caractériser le délit suppose que son auteur n’a pas eu le moindre doute sur l’origine de la chose recelée.

En l’espèce, il n’est pas contesté que Mme. L. a reçu, de manière anonyme, des documents confidentiels de la société TEFAL. Comme il a été dit, il s’agissait, outre d’un document intitulé « capteurs sociaux », de divers échanges de courriers électroniques entre les responsables des ressources humaines de la société.

Le fait que ces documents aient été obtenus de manière clandestine et anonyme, qu’ils étaient, à l’évidence, confidentiels, que la prévenue ne pouvait ignorer tant par leur contenu que par l’identité de leurs destinataires qu’ils avaient été obtenus sans l’accord des titulaires des boites mail, qu’elle ait supprimé ensuite de sa boîte mail toutes traces de ses correspondances avec son informateur anonyme, qu’elle en ait fait ensuite un usage privé en les transférant à divers syndicats départementaux et régionaux au lieu de les communiquer au Procureur de la République s’ils révélaient, comme elle le soutient, l’existence d’une infraction sont d’autant d’éléments qui révèlent que la prévenue n’avait pas le moindre doute sur l’origine de ces fichiers litigieux, en sorte que l’intention frauduleuse pour caractériser le délit de recel est parfaitement établie.

Le jugement déféré sera en conséquence, confirmé en ce qu’il a retenu la culpabilité de Mme. L. de ce chef de prévention.

 

► Voir le commentaire d'Arnaud Casado, docteur en droit, maître de conférences à l’école de droit de la Sorbonne (Paris 1)