Les grands arrêts de la jurisprudence en droit informatique : arrêt de la Cour de cassation, chambre commerciale, du 12 juillet 2016 (pourvoi 16-82.455)
Cour de cassation, chambre commerciale
12 juillet 2016, pourvoi 16-82.455
LA COUR DE CASSATION, CHAMBRE CRIMINELLE, a rendu l'arrêt suivant :
Statuant sur les pourvois formés par :
- M. Jérome X...,
- M. Christophe Y...,
contre l'arrêt de la chambre de l'instruction de la cour d'appel de BORDEAUX, en date du 11 février 2016, qui, infirmant, sur le seul appel de la partie civile, l'ordonnance de non-lieu rendue par le juge d'instruction, les a renvoyés devant le tribunal correctionnel sous la prévention d'accès frauduleux à un système de traitement automatisé de données ;
La COUR, statuant après débats en l'audience publique du 15 juin 2016 où étaient présents dans la formation prévue à l'article 567-1-1 du code de procédure pénale : M. Guérin, président, M. Sadot, conseiller rapporteur, M. Soulard, conseiller de la chambre ;
Greffier de chambre : M. Bétron ;
Sur le rapport de M. le conseiller SADOT, les observations de la société civile professionnelle BOULLEZ, de la société civile professionnelle BORÉ et SALVE DE BRUNETON, avocats en la Cour, et les conclusions de M. l'avocat général GAILLARDOT ;
Joignant les pourvois en raison de la connexité ;
Vu les mémoires en demande et en défense produits ;
Sur le moyen unique de cassation, pris de la violation de l'article 6 de la Convention européenne des droits de l'homme, les articles 123-1 et 323-1 du code pénal, les articles préliminaire, 591 et 593 du code de procédure pénale ;
" il est fait grief à l'arrêt attaqué d'avoir infirmé l'ordonnance de non-lieu du juge d'instruction et d'avoir renvoyé les mis en examen devant le tribunal correctionnel de Bordeaux des chefs d'accès frauduleux à un système de traitement automatisé de données ;
" aux motifs que, sur l'existence de l'infraction de l'article 323-1 du code de procédure pénale, aux termes de l'article 323-1 du code pénal en vigueur au moment de la commission des faits et issu de la loi n° 2004-575 du 21 juin 2004 : « le fait d'accéder ou de se maintenir, frauduleusement, dans tout ou partie d'un système de traitement automatisé de données est puni de deux ans d'emprisonnement et de 30 000 euros d'amende ; que, lorsqu'il en est résulté soit la suppression ou la modification de données contenues dans le système, soit une altération du fonctionnement de ce système, la peine est de trois ans d'emprisonnement et de 45 000 euros d'amende » ; qu'il résulte des débats parlementaires que le système de traitement automatisé de données peut être défini comme tout ensemble composé d'une ou plusieurs unités de traitement, de mémoires, de logiciels, de données, d'organes d'entrées-sorties et de liaisons qui concourent à un résultat déterminé, cet ensemble étant protégé par des dispositifs déterminés ; qu'il ressort clairement des éléments de la cause que les sites Demowagram et Diversimmo, développés par la société ID Soft, constituent bien un système de traitement automatisé de données : il s'agit d'un système informatique comportant des données en vue d'un résultat déterminé et protégé par un identifiant (Login) et un mot de passe ; que, contrairement à ce que soutiennent les mis en examen, le texte n'impose absolument pas que le système soit en service et n'exclut pas les sites en cours de construction ou de développement : un site en cours de construction répond aux critères de l'article précité dès lors qu'il comporte des données qu'il est nécessaire de préserver et qu'il est nécessaire d'avoir un mot de passe pour y accéder, ce qui est le cas en l'espèce ; que, ce que soutient le mis en examen repose uniquement sur un article de doctrine qui ne tient pas compte de la jurisprudence ni de la lettre du texte qui ne prévoit pas la condition préalable que le système soit effectif : en l'espèce, le site réalisé par ID Soft pour le compte de Demowagram et de Diversimmo est bien un système de traitement automatisé de données qui est protégé pénalement par l'article précité tant des intrusions que du maintien dans ledit site ; que, peu importe que les identifiant et mot de passe soient peu sécurisés et aient été connus préalablement des auteurs de l'intrusion, dès lors que ceux-ci n'avaient aucune autorisation de pénétrer sur le système de traitement automatisé de données et de s'y maintenir ; qu'en conséquence, l'infraction de l'article 323-1 du code pénal pouvait être retenue en l'espèce ; que, sur les éléments constitutifs des infractions, concernant M. Y..., lors de sa mise en examen du 23 mars 2015 ainsi d'ailleurs que lors de son audition du 23 mai 2007, M. Y... a reconnu s'être introduit volontairement dans le site appartenant à ID Soft avec l'aide et en présence d'un huissier de justice, les faits ayant eu lieu à deux reprises : les 16 septembre 2005 et 18 octobre 2005 ; qu'il l'a fait avec des mots de passe dont il était en possession précédemment lorsqu'il travaillait pour ID Soft ; que contrairement à ce qu'il prétend, les sites étaient bien la propriété de ID Soft et le fait qu'il avait été en possession des identifiant et mot de passe ou que ceux-ci n'étaient pas sécurisés ne l'autorisait pas à pénétrer sur le site ; qu'il indique, d'ailleurs, qu'il y a pénétré volontairement afin de contrôler si ID Soft ne commettait pas elle-même une contrefaçon et dans le but d'introduire, le cas échéant, une instance civile, cet acte volontaire constituant l'élément moral de l'infraction ; que ces éléments permettent de dire qu'il existe à l'encontre de M. Y... des charges suffisantes pour avoir à Toulouse et à Mérignac, le 16 septembre 2005 et le 18 octobre 2005, accédé frauduleusement à tout ou partie du système de traitement automatisé de données appartenant à la société ID Soft, faits prévus et réprimés par l'article 323-1 du code pénal ; qu'en conséquence, il sera renvoyé devant le tribunal correctionnel de Bordeaux de ce chef ; qu'en revanche, il n'est pas établi que ces intrusions dans le site de ID Soft de mai et juin 2006 soient imputables à M. Y..., aucun élément matériel ne pouvant être retenu à son encontre à ces dates ; que, 2. concernant M. X..., le raisonnement doit être le même pour M. X... sous les réserves suivantes ; que M. X... a été mis en examen pour les quatre intrusions constatées en 2005 et 2006 ; que, lors de son interrogatoire de première comparution à l'issue de laquelle il avait bénéficié du statut de témoin assisté, il avait déclaré à la question du juge d'instruction savoir comment il avait eu l'idée d'entrer sur le site : « Nous avons eu l'idée pour tester mes propres codes. Nous en avons parlé à notre conseil qui nous a parlé de la jurisprudence Tati et c'est dans cette circonstance que nous avons fait intervenir l'huissier. Je tiens à préciser qu'à aucun moment nous n'avons tenté de nous introduire frauduleusement, nous n'avons fait qu'utiliser devant l'huissier nos propres codes » (D 88) ; qu'il a confirmé ces déclarations lors de sa mise en examen le 23 mars 2015 (E 3) en précisant que le « nous » représentait la société et que les codes avait (sic) été remis par la société ID Soft ; que compte tenu de ces déclarations initiales de M. X..., les éléments constitutifs de l'infraction apparaissant bien réunis tant au niveau de l'élément matériel qu'en ce qui concerne l'élément moral ce qui représente en l'état des charges suffisantes pour le renvoyer devant le tribunal correctionnel comme auteur du délit et non comme complice ; que, néanmoins, M. X... a démontré, par la production de relevés bancaires, qu'il n'était pas sur le territoire national le 22 mai 2006, de sorte que l'intrusion qui a été constatée à partir de son adresse IP ne peut lui être imputée pour cette date ; que, dès lors, ses explications sur le fait que l'adresse IP à son nom était celle de la société et qu'elle pouvait de ce fait être utilisée par d'autres personnes ne paraissent pas pouvoir être démenties ; qu'il bénéficiera d'un non-lieu sur ce point ; qu'il sera donc renvoyé devant le tribunal correctionnel pour avoir à Toulouse et à Mérignac, le 16 septembre 2005, le 18 octobre 2005 et le 27 juin 2006, accédé frauduleusement à tout ou partie du système de traitement automatisé de données appartenant à la société ID Soft, faits prévus et réprimés par l'article 323-1 du code pénal ;
" 1°) alors qu'il n'y a ni crime ni délit sans intention de le commettre ; que les demandeurs ont indiqué avoir consulté un avocat qui, sur le fondement de la jurisprudence dite Tatic/ Kitétoa, leur a conseillé de recourir à un huissier pour faire constater la contrefaçon de leur site en se connectant, à l'aide de leurs login et mot de passe donnés par la société ID Soft à la suite du contrat de développement de leur site, sur le site contrefait Diversimmo ; que le fait d'avoir recueilli l'avis d'un professionnel du droit, d'avoir fait appel à un huissier et d'avoir versé ses constats à la procédure ouverte devant le tribunal de commerce établit l'absence d'intention de s'introduire frauduleusement, faute de volonté d'agir illicitement ; qu'en l'espèce, alors qu'elle a relevé que les mis en examen avaient pris conseil auprès d'un avocat et s'étaient faits assister et aider par un huissier de justice aux fins d'établir la contrefaçon de leur site, la chambre de l'instruction a considéré que l'élément moral de l'infraction était constitué ; qu'en statuant comme elle l'a fait, la chambre de l'instruction a violé les articles visés au moyen ;
" 2°) alors que le caractère volontaire d'un acte n'implique nullement l'intention frauduleuse de son auteur ; qu'en retenant, par motifs inopérants, que l'élément moral de l'infraction était constitué car les mis en examen avaient volontairement pénétré sur le site de la société ID Soft, alors que la loi ne punit pas un accès volontaire, mais un accès frauduleux, effectué avec la volonté de violer la loi en toute connaissance de cause, la chambre de l'instruction a violé l'article 323-1 du code pénal ;
" 3°) alors que le droit au respect de la présomption d'innocence commande que le doute profite au mis en examen ; que la chambre de l'instruction a considéré que l'intrusion, en date du 22 mai 2006, ne pouvait être imputée à M. X..., à l'étranger ce jour-là, car l'adresse IP de la société avait pu être utilisée par d'autres personnes ; qu'or, la chambre de l'instruction a ensuite déduit de la seule utilisation de l'adresse IP de la société le 27 juin 2006 que l'intrusion était imputable à M. X... ; qu'en statuant comme elle l'a fait, alors que le doute sur l'auteur de l'intrusion devait bénéficier au mis en examen, la chambre de l'instruction a violé les articles 6 de la Convention européenne des droits de l'homme, et 323-1 du code pénal ;
" 4°) alors que, selon les dispositions de l'article 6 de la Convention européenne des droits de l'homme, toute personne accusée a le droit d'être jugée dans un délai raisonnable ; que le délai raisonnable débute dès l'instant où une personne est accusée et s'apprécie en particulier au regard de la complexité de l'affaire, du comportement de l'accusé et de celui des autorités compétentes ; qu'en l'espèce, le délai a commencé à courir le 8 août 2006, jour de la plainte avec constitution de partie civile de la société ID Soft ; que l'instruction dure donc depuis près de dix ans sans que la complexité de l'affaire puisse être invoquée et sans que le comportement des mis en examen puisse être incriminé ; qu'il en résulte une violation du délai raisonnable de la procédure et du droit au procès équitable des demandeurs " ;
Attendu que le moyen qui se borne, en ses trois premières branches, à critiquer les énonciations de l'arrêt relatives aux charges que la chambre de l'instruction a retenues contre les prévenus, alors que ces énonciations ne présentent aucune disposition que le tribunal saisi de la poursuite n'aurait pas le pouvoir de modifier, est irrecevable à ce titre en application de l'article 574 du code de procédure pénale, et l'est, en sa quatrième branche, comme nouveau et mélangé de fait en ce qu'il invoque pour la première fois devant la Cour de cassation, la violation des dispositions de la Convention européenne des droits de l'homme relatives au respect du délai raisonnable ;
D'où il suit que le moyen ne saurait être accueilli ;
Et attendu que l'arrêt est régulier en la forme ;
REJETTE les pourvois ;
FIXE à 2 000 euros la somme globale que MM. Y... et X...devront payer à la société ID SOFT au titre de l'article 618-1 du code de procédure pénale ;
Ainsi fait et jugé par la Cour de cassation, chambre criminelle, et prononcé par le président le douze juillet deux mille seize ;
En foi de quoi le présent arrêt a été signé par le président, le rapporteur et le greffier de chambre.
Retour à la liste des décisions