Google, Bluetouff et les STAD

ANSES & BluetouffAvec la condamnation de Bluetouff par la Cour d’appel de Paris et la publication de la sanction de Google par la CNIL, la semaine a été riche en actualités juridiques.

Commençons par ce qu’il convient dorénavant d’appeler l’affaire Bluetouff. Je ne rappellerai pas les faits dans le détail. Pour ça, il y a Reflets.info ou le site du “condamné“. Sur l’analyse juridique, il y a Maître Eolas (dont le billet m’a fait penser au Palais de justice de Bethune, à son fronton sur lequel est gravé “Dura lex sed lex” et à sa guillerette architecture).

Rappelons seulement que la Cour d’appel de Paris avait jugé, le 30 octobre 2002 que :

il ne peut être reproché à un internaute d’accéder aux, ou de se maintenir dans les parties des sites qui peuvent être atteintes par la simple utilisation d’un logiciel grand public de navigation, ces parties de site, qui ne font par définition l’objet d’aucune protection de la part de l’exploitant du site ou de son prestataire de services, devant être réputées non confidentielles à défaut de toute indication contraire et de tout obstacle à l’accès; que même s’agissant de données nominatives, l’internaute y accédant dans de telles conditions ne peut inférer de leur seule nature qu’elles ne sont pas publiées avec l’accord des intéressés, et ne peut dès lors être considéré comme ayant accédé ou s’étant maintenu frauduleusement dans cette partie du système automatisé de traitement de données, la détermination du caractère confidentiel (en l’espèce non discuté mais qui n’a donné lieu à aucune utilisation en pratique préjudiciable) et des mesures nécessaires à l’indication et à la protection de cette confidentialité relevant de l’initiative de l’exploitant du site ou de son mandataire;

C’était l’affaire KITETOA TATI.

Pour des faits similaires, BLUETOUFF est condamné sur appel du parquet, après une relaxe en première instance.

Sur le plan de l’orthodoxie juridique, le caractère frauduleux du maintien dans un STAD est probablement effectivement constitué dès lors qu’il repose sur l’intention, et en l’espèce, la conscience avouée de Bluetouff, selon les termes de l’arrêt, d’avoir exploité une faille de sécurité qui rendait visible sans authentification des documents confidentiels.

Il aurait dû se retirer aussitôt. C’est la morale de cette décision. Il n’a toutefois pas pris neuf mois mais 3.000 euros d’amende.

Rappelons que cette infraction est prévue par l’article 323-1 alinéa 1 du code pénal aux termes duquel :

Le fait d’accéder ou de se maintenir, frauduleusement, dans tout ou partie d’un système de traitement automatisé de données est puni de deux ans d’emprisonnement et de 30000 euros d’amende.

Alors orthodoxie juridique oui, totalement agree avec le blogueur avocat au pseudonyme gaëlique. Mais une loi à la rédaction très discutable.

L’art du retrait

Si le caractère frauduleux de la soustraction est bien utile pour qualifier le vol IRL, il semble inadéquat dans la sphère Web. Trop subjectif, indéfini. Il n’y a qu’à constater, sur un même texte, les conceptions très divergentes successivement retenues par la même juridiction à 12 ans d’écart.

La loi pénale doit être précise, d’interprétation stricte.

Un commentateur d’internet a fort justement indiqué que Bluetouff n’aurait rien risqué s’il s’était contenté de charger du cache google. Peut-on dans ce cas imaginer que google, qui – si j’ai bien compris – a accédé à tous ces documents avant bluetouff , a commis l’infraction de maintien frauduleux ?

Son robot a bien dû aller jusqu’à la racine et constater que le site était censé être protégé. Le robot a-t-il une intention ? Si Bluetouff avait utilisé un logiciel pour aspirer tous ces documents, qu’en serait-il ?

La loi pénale est d’interprétation stricte, elle doit être précise. Il ne doit jamais y avoir de place pour le doute dans l’esprit d’un individu agissant quant à la légalité de son comportement.

Sur internet, on devrait avoir un principe unique. Tout ce qui est mis en ligne par un professionnel et n’est pas protégé par login + mot de passe est en libre accès, et puis c’est marre ! (sauf s’il s’agit de données à caractère personnel relevant de la CNIL of course puisque celui qui les aurait en sa possession entrerait dès lors dans le champ des dispositions applicables en la matière) Tant pis pour un professionnel si sa sécurité merdouille. C’était le concept de l’arrêt de 2002. Ce n’est pas l’interprétation de 2014. C’est ce qu’on peut au moins attendre de la Cour de cassation.

Et pendant qu’on s’interroge sur la question de savoir si google est susceptible de se maintenir frauduleusement dans des STAD par le biais de ses petits robots, un petit extrait de la délibération de la CNIL :

« Dans ces conditions, il est établi que la société  ne respecte pas son obligation d’obtenir le consentement de la personne avant d’inscrire des informations dans l’équipement terminal de communications électroniques [un STAD ndr] de l’utilisateur ou d’accéder à celles-ci par voie de transmission électronique, ce manquement concernant tant les utilisateurs actifs non authentifiés que les utilisateurs passifs de ses services, c’est-à-dire la plus large majorité des utilisateurs concernés. »

Ci-dessous, capture d’écran de mon mobile sur le site google, samedi 7 février, alors que l’affichage de ladite sanction était lisible sur le même site sur mon pc…

 gogueul

Alors que : “Le communiqué figurera dans un encart spécifique localisé sur la page accessible  à l’adresse https://www.google.fr

Damage control !