Les grands arrêts de la jurisprudence en droit informatique : arrêt de la Cour de cassation, chambre commerciale, du 22 février 2011 (pourvoi 10-82.834)
Cour de cassation, chambre commerciale
22 février 2011, pourvoi 10-82.834
LA COUR DE CASSATION, CHAMBRE CRIMINELLE, a rendu l'arrêt suivant :
Statuant sur les pourvois formés par :
- M. Olivier X...,
- La Société Kadrige, parties civiles,
contre l'arrêt de la cour d'appel de VERSAILLES, 9e chambre, en date du 19 février 2010, qui les a déboutés de leur demande après relaxe de la société Pfizer, M. Martin Y... ainsi que de la société Direct Medica et de M. Benoît Z..., Mme Aurélie A... et M. Alexandre B... des chefs d'accès frauduleux dans un système de traitement automatisé de données et d'atteinte aux droits du producteur d'une base de données ;
Joignant les pourvois en raison de la connexité ;
Vu les mémoires produits en demande et en défense ;
Sur le premier moyen de cassation, pris de la violation des articles 323-1, 323-5, 323-6 et 323-7 du code pénal, L. 343-1 du code de la propriété intellectuelle, 427, 485, 591 et 593 du code de procédure pénale, défaut de motifs, manque de base légale ;
"en ce que l'arrêt attaqué a, par confirmation du jugement déféré, déclaré la société Pfizer, la société Direct Medica, M. Z..., M. B..., Mme A... et M. Y... non coupables et les a renvoyés des fins de la poursuite pour les faits qualifiés d'accès frauduleux dans un système de traitement automatisé de données et d'atteinte aux droits du producteur d'une base de données, et débouté la société Kadrige et M. X..., parties civiles, de leurs demandes ;
"aux motifs adoptés des premiers juges que les prévenus personnes physiques et personnes morales sont poursuivis des chefs d'accès et maintien frauduleux dans un système de traitement automatisé de données d'une part et de délit d'atteinte aux droits du producteur d'une base de données d'autre part ; que la preuve produite par la partie civile n'est pas recevable par le tribunal correctionnel s'agissant d'un CD-ROM confectionné par les parties civiles sans qu'aucun contrôle sur la sélection éventuelle des données ait pu être faite par les officiers de police judiciaire chargés de l'enquête; que seule une expertise informatique sous contrôle des enquêteurs et d'un magistrat pouvait apporter la preuve de connexions au système informatique de la société Kadrige ;
"et aux motifs propres que, sur le délit d'accès frauduleux dans un système automatisé de données, il est reproché à la société Direct Medica cette infraction par l'intermédiaire des agissements de ses salariés, M. Z..., M. B... et Mme A... ; qu'il n'est pas démontré que les intéressés se seraient connectés à d'autres moments sur les sites de la partie civile, ainsi que l'a relevé le tribunal ; que, sur le délit d'atteinte aux droits d'un producteur de base de données, il n'est pas démontré l'exploitation des informations recueillies sur la société Kadrige à titre de base de données ; qu'en tout état de cause, il n'apparaît pas que les prévenus aient eu accès à des éléments confidentiels sur ce point en dehors de ce qui était divulgué au cours de séances de démonstration ;
"1°) alors que, hors les cas où la loi en dispose autrement, les infractions peuvent être établies par tout mode de preuve et le juge décide d'après son intime conviction; que l'article L. 343-1 du code de la propriété intellectuelle dispose que l'atteinte aux droits du producteur de base de données peut être prouvée par tous moyens ; que la loi n'interdit pas la preuve par tous moyens du délit d'accès frauduleux dans un système automatisé de données ; qu'en déclarant cependant irrecevable la preuve produite par les parties civiles, la cour d'appel n'a pas légalement justifié sa décision ;
"2°) alors que le juge peut fonder sa décision sur des preuves qui lui sont apportées au cours des débats et contradictoirement discutées devant lui ; qu'en déclarant irrecevable la preuve produite par les parties civiles, qui avait été soumise à la discussion contradictoire des parties, au motif inopérant qu'il s'agit d'un CD-Rom confectionné par elles sans qu'aucun contrôle sur la sélection éventuelle des données ait pu être fait par les officiers de police judiciaire chargés de l'enquête, la cour d'appel n'a pas légalement justifié sa décision ;
"3°) alors qu'il appartient aux juges correctionnels d'ordonner les mesures d'instruction qu'ils estiment utiles à la manifestation de la vérité et qu'ils constatent avoir été omises ; que la cour d'appel, qui a relevé que seule une expertise informatique sous contrôle des enquêteurs et d'un magistrat pouvait apporter la preuve de connexions au système informatique de la société Kadrige et ainsi estimé que l'information n'était pas complète, a privé sa décision de base légale en s'abstenant d'ordonner, ainsi qu'il lui appartenait, les mesures d'instructions appropriées" ;
Attendu que, faute d'avoir été proposé devant les juges du fond, le moyen, mélangé de fait, est nouveau et, comme tel, irrecevable ;
Sur le deuxième moyen de cassation, pris de la violation des articles 323-1, 323-5, 323-6 et 323-7 du code pénal, 591 et 593 du code de procédure pénale, défaut de motifs, manque de base légale ;
"en ce que l'arrêt attaqué a, par confirmation du jugement déféré, déclaré M. Z... et la société Direct Medica non coupables et les a renvoyés des fins de la poursuite pour les faits qualifiés d'accès frauduleux dans un système de traitement automatisé de données, et débouté la société Kadrige et M. X..., parties civiles, de leurs demandes ;
"aux motifs qu'il est établi et non contesté que M. Z..., qui exerce les fonctions de développeur, s'est placé le 11 mai 2004 sur la page de démonstration du site présenté le jour même par M. X... en se servant du mot de passe et de l'identifiant utilisés à cette occasion par celui-ci, sans qu'il apparaisse qu'il ait usé de moyens frauduleux ; que, dès lors qu'à l'occasion de cette réunion d'information sur la solution proposée par la société Kadrige, le site de démonstration a été étudié et les mots de passe et login employés ostensiblement sans la moindre mise en garde sur une prohibition de leur usage, l'élément moral de l'infraction doit être écarté ;
"alors que se rend coupable d'accès frauduleux dans un système de traitement automatisé de données la personne qui emploie, sans autorisation, un code confidentiel qui ne lui a pas été volontairement communiqué pour accéder à un tel système à l'insu de son propriétaire ; qu'il résulte du rapport de police du 1er décembre 2005, dont les termes ont été rappelés dans les conclusions d'appel des parties civiles que, lors de la réunion du 11 mai 2004, le mot de passe tapé par M. X... était crypté, qu'il ne l'a pas communiqué aux personnes présentes ni laissé entendre qu'elles étaient autorisées à accéder au site qu'il venait de présenter et que M. Z... a reconnu avoir obtenu le mot de passe en regardant sur le clavier lorsque M. X... l'a tapé, et donc à l'insu de celui-ci ; qu'en écartant l'élément moral de l'infraction, cependant que M. Z... a usé sans autorisation d'un code confidentiel, puisque crypté, qui ne lui avait pas été communiqué et qu'il a obtenu de façon irrégulière, la cour d'appel n'a pas légalement justifié sa décision" ;
Sur le troisième moyen de cassation, pris de la violation des articles 323-1, 323-5, 323-6 et 323-7 du code pénal, 591 et 593 du code de procédure pénale, défaut de motifs, défaut de réponse à conclusions, manque de base légale ;
"en ce que l'arrêt attaqué a, par confirmation du jugement déféré, déclaré M. Y..., Mme A..., la société Pfizer et la société Direct Medica non coupables et les a renvoyés des fins de la poursuite pour les faits qualifiés d'accès frauduleux dans un système de traitement automatisé de données, et débouté la société Kadrige et M. X..., parties civiles, de leurs demandes ;
"aux motifs que M. Y..., salarié de la société Pfizer, a accédé à un site de la société Kadrige, les 6 et 9 août 2003, dans le cadre de vérifications sur le degré de confidentialité que l'on pouvait attendre d'une collaboration avec l'entreprise ; qu'il a pu ainsi, sans login ni mot de passe, se connecter sur le site http://lilly.keo.net présentant des écrans et argumentaires destinés aux médecins pour la commercialisation de Cialis et procéder au téléchargement de deux sous-répertoires en accès libre sans forcer un mécanisme de filtre, ni mot de passe ni identifiant ; qu'il a, dès lors, été relaxé à juste titre de ce chef en l'absence d'élément moral sur l'infraction d'accès frauduleux à un système de traitement automatisé de données ; qu'il est reconnu par Mme A..., responsable commerciale, que le 6 août 2004, alertée par la société Pfizer, elle a accédé au site http://lilly.keo.net sans mot de passe ni identifiant ; que la société Kadrige et la société Direct Medica collaboraient à l'époque au point qu'un accord de confidentialité a été signé le 19 octobre 2004 entre elles et que M. C..., représentant de la société Direct Medica, a averti la société Kadrige de cet accès ainsi vérifié par Mme A... ; que les relations commerciales qui tendaient à associer la société Kadrige au marché finalement obtenu par la société Direct Medica se sont même poursuivies encore plus tard, puisque la première a donné à la seconde les login nécessaires à la connexion et à la mise en place du travail commun le 16 novembre, étant précisé que selon les déclarations de la partie civile devant les premiers juges, lesdits login ont expiré le jour même de la communication à minuit ; qu'indépendamment du fait que Mme A... voulait vérifier le degré de sécurité de sites de la société avec laquelle son employeur envisageait de collaborer, l'élément moral est exclu en l'absence de mise en garde d'une manière ou d'une autre du caractère confidentiel du site ;
"1°) alors que, dans leurs conclusions d'appel, les parties civiles faisaient valoir que la connexion à l'adresse http://lilly.keo.net ne permettait pas d'accéder directement à des argumentaires produits au nom de Cialis mais seulement à une page d'accueil d'un site protégé réclamant un mot de passe, de sorte que si l'accès au sous-domaine, par la saisine directe d'un fichier appartenant à ce sous-domaine ne réclamait pas spécifiquement de code d'accès, il reste néanmoins qu'aucun des accès à ce sous-domaine n'a été réalisé dans l'ignorance de l'interdiction qui en était faite ou en croyant faussement qu'il y était autorisé ; qu'en s'abstenant de répondre à ces conclusions péremptoires, la cour d'appel n'a pas légalement justifié sa décision" ;
Sur le quatrième moyen de cassation, pris de la violation des articles 323-1, 323-5, 323-6 et 323-7 du code pénal, 591 et 593 du code de procédure pénale, défaut de motifs, défaut de réponse à conclusions, manque de base légale ;
"en ce que l'arrêt attaqué a, par confirmation du jugement déféré, déclaré M. B... et la société Direct Medica non coupables et les a renvoyés des fins de la poursuite pour les faits qualifiés d'accès frauduleux dans un système de traitement automatisé de données, et débouté la société Kadrige et M. X..., parties civiles, de leurs demandes ;
"aux motifs que M. B..., directeur technique au sein de la société Direct Medica, a reconnu avoir aussi essayé de se connecter sur ledit site, en septembre 2004, en recourant pour récupérer une page web à un aspirateur à pages gratuit disponible sur internet sans avoir eu recours non plus à un mot de passe ou à un login ; que l'accès sans difficulté ni fraude ni usage de mot de passe ou identifiant, ni mise en garde au site de la société Kadrige, conduit la cour à considérer que l'élément moral de l'infraction fait défaut ;
"alors que, dans leurs conclusions d'appel, les parties civiles faisaient valoir que M. B..., qui avait participé à la réunion de présentation du 11 mai 2004, au cours de laquelle M. X... s'était connecté sur le site de présentation de la société Kadrige à l'aide d'un login et d'un mot de passe non communiqué aux participants, avait reconnu que dans un contexte de partenariat, où il est coutumier de pouvoir pendant un certain temps, revoir une démonstration qui a été présentée, M. X... n'avait pas laissé entendre aux membres de la société Direct Medica qu'ils pouvaient accéder à son site, ce dont il se déduisait que M. B..., comme les autres salariés de Direct Medica, ne pouvait se méprendre sur l'interdiction d'accéder à ce titre ni croire faussement qu'un tel accès était autorisé ; qu'en s'abstenant de répondre à ces conclusions péremptoires, la cour d'appel n'a pas justifié légalement sa décision" ;
Sur le cinquième moyen de cassation, pris de la violation des articles L. 342-1, L. 342-2, L. 342-3, L. 343-1, L. 343-4 du code de la propriété intellectuelle, 7 § 1 de la Directive CE n° 96/9 du 11 mars 1996, 591 e t 593 du code de procédure pénale, défaut de motifs, manque de base légale ;
"en ce que l'arrêt attaqué a, par confirmation du jugement déféré, déclaré la société Pfizer, la société Direct Medica, M. Z..., M. B..., Mme A... et M. Y... non coupables et les a renvoyés des fins de la poursuite pour les faits qualifiés d'atteinte aux droits du producteur d'une base de données, et débouté la société Kadrige et M. X..., parties civiles, de leurs demandes ;
"aux motifs que, sur le délit d'atteinte aux droits d'un producteur de base de données, les parties civiles se plaignent de l'atteinte à leurs droits qui résulterait de l'extraction et de l'usage du dossier de présentation de la société Kadrige de juin 2004 ; que la solution de visite médicale à distance de la société Kadrige repose sur un procédé technique différent de celui utilisé par la société Direct Medica ; qu'il n'est pas démontré l'exploitation des informations recueillies sur la société Kadrige à titre de base de données ; qu'en tout état de cause, il n'apparaît pas que les prévenus aient eu accès à des éléments confidentiels sur ce point en dehors de ce qui était divulgué au cours de séances de démonstration ; qu'ils ont eu accès à l'information diffusée aux médecins sur les modalités de prescription du Cialis ; qu'à cet égard, la société Kadrige est mal venue de s'en plaindre, dès lors que les incriminations pénales supposent que le producteur qui se dit lésé ait préalablement interdit expressément l'extraction du contenu de sa base de données ; que tel n'est pas le cas en l'espèce ; que c'est donc à juste titre que les prévenus ont été relaxés de ce chef ;
"1°) alors que porte atteinte aux droits d'un producteur de base de données la réutilisation de la totalité ou d'une partie qualitativement ou quantitativement substantielle du contenu de la base, quelle qu'en soit la forme ; qu'en déclarant les prévenus non coupables des faits d'atteinte aux droits d'un producteur de base de données, motif pris qu'il n'est pas démontré que les informations recueillies sur la société Kadrige ont été utilisées à titre de base de données, la cour d'appel a violé les textes visés au moyen ;
"2°) alors qu'est incriminé le fait de porter atteinte aux droits du producteur d'une base de données tels que définis à l'article L. 342-1 du code de la propriété intellectuelle ; que, selon ce texte, le producteur de bases de données a le droit d'interdire l'extraction, par transfert permanent ou temporaire de la totalité ou d'une partie qualitativement ou quantitativement substantielle du contenu d'une base de données sur un autre support, par tout moyen et sous toute forme que ce soit, ainsi que la réutilisation, par la mise à la disposition du public de la totalité ou d'une partie qualitativement ou quantitativement substantielle du contenu de la base quelle qu'en soit la forme ; qu'en subordonnant l'incrimination pénale à une interdiction préalable et expresse non prévue par ce texte, la cour d'appel a violé les articles L. 342-1 et L. 343-4 du code de la propriété intellectuelle" ;
Les moyens étant réunis ;
Attendu que les énonciations de l'arrêt attaqué mettent la Cour de cassation en mesure de s'assurer que la cour d'appel a, sans insuffisance ni contradiction, et en répondant aux chefs péremptoires des conclusions dont elle était saisie, exposé les motifs pour lesquels elle a estimé que la preuve des infractions reprochées n'était pas rapportée à la charge des prévenus en l'état des éléments soumis à son examen, et a ainsi justifié sa décision déboutant les parties civiles de leurs prétentions ;
D'où il suit que les moyens qui se bornent à remettre en question l'appréciation souveraine, par les juges du fond, des faits et circonstances de la cause, ainsi que des éléments de preuve contradictoirement débattus, ne sauraient être admis ;
Et attendu que l'arrêt est régulier en la forme ;
REJETTE les pourvois ;
Ainsi jugé et prononcé par la Cour de cassation, chambre criminelle, en son audience publique, les jour, mois et an que dessus ;
Etaient présents aux débats et au délibéré, dans la formation prévue à l'article 567-1-1 du code de procédure pénale : M. Louvel président, M. Le Corroller conseiller rapporteur, M. Arnould conseiller de la chambre ;
Greffier de chambre : Mme Krawiec ;
En foi de quoi le présent arrêt a été signé par le président, le rapporteur et le greffier de chambre ;
Retour à la liste des décisions