Home / Publications / Seul l’accès à un système d’information sécurisé...

Seul l’accès à un système d’information sécurisé est incriminé

19/09/2013


La victime d’un accès frauduleux à son système d’information peut se plaindre sur le fondement de l’article 323-1 du code pénal qui réprime le fait d'accéder ou de se maintenir, frauduleusement, dans tout ou partie d'un système de traitement automatisé de données.

Les conditions de mise en œuvre de cette action ont été illustrées par une récente décision du Tribunal de grande instance de Créteil en date du 23 avril 2013. Dans cette affaire, un établissement public s’est aperçu qu’une personne s’est introduite dans son extranet, dont l’accès est normalement restreint, pour en exfiltrer un grand nombre de documents. Une partie des documents a ensuite été divulguée par le visiteur indélicat, sur internet, comme illustration d’un article.

L’établissement public a donc porté plainte. Lors de l’enquête qui s’en est suivie, il a été mis en évidence qu’en raison d’une défaillance technique du système d’information, le code utilisateur et le mot de passe n’ont pas été demandés au prévenu, qui a donc pu librement accéder aux documents litigieux. Le tribunal a estimé que le prévenu avait légitimement pu penser que les données qu’il avait récupérées étaient en libre accès, et l’a donc relaxé.

Pour que l’infraction soit constituée, il aurait été nécessaire qu’un système de protection existe ou, selon les termes du Tribunal, que soit clairement manifestée l’intention du propriétaire du système de restreindre l’accès aux données aux seules personnes autorisées.

Article paru dans la revue 01 Business n°2172 du 5 septembre 2013