Il n’est pas rare qu’un gestionnaire de site Internet utilise un répertoire caché pour y stocker des informations ou pour faire des essais, notamment de mise en page. Ce répertoire n’est pas forcément protégé par un fichier htaccess pour que les visiteurs ne puisse y accéder. Dès lors, il peut arriver qu’un internaute y accède et en voit le contenu. Cet internaute commet-il pour autant une infraction ?

L’infraction qui vient à l’esprit du juriste s’appelle accès ou maintien dans un système de traitement automatisé de données (art. 323-1 c. pénal). Un site internet répond bien aux différents critères posés par le texte. Ainsi un site Internet est bien un tel système. La question qui se pose est de savoir si le fait d’accéder à des données dans un répertoire caché, éventuellement sans lien avec le reste du site Internet est constitutif d’un accès ou d’un maintien dans ce système.

La réponse à cette question a été apportée par la Cour d’appel de Paris dans un arrêt du 30 octobre 2002. Il ressort, aux termes de cet arrêt, qu”il ne peut être reproché à un internaute d’accéder aux données [dans un répertoire caché], ou de se maintenir dans les parties des sites qui peuvent être atteintes par la simple utilisation d’un logiciel grand public de navigation, ces parties de site, qui ne font, par définition, l’objet d’aucune protection de la part de l’exploitant du site ou de son prestataire de services, devant être réputées non confidentielles à défaut de toute indication contraire et de tout obstacle à l’accès ;

Les magistrats ajoutent également que “l’internaute y accédant dans de telles conditions ne peut inférer de leur nature qu’elles ne sont pas publiées avec l’accord des intéressés, et ne peut dès lors être considéré comme ayant accédé ou s’étant maintenu frauduleusement dans cette partie du système automatisé de traitement de données, la détermination du caractère confidentiel“. Dans le cas présent, l’internaute qui a accédé aux données ne pouvait pas savoir que les données auxquelles il a accédé n’étaient pas publiques.

Trois éléments ont permis aux magistrats d’écarter la commission de l’infraction :

• les parties du site contenant les données sensibles étaient accessibles facilement avec un logiciel grand public ;
• il n’y avait pas de protection particulière de ces données, notamment par fichier htaccess ;
• l’internaute ne pouvait pas savoir que ces données étaient confidentielles dans le mesure où il n’y avait pas de protection.

Il va de soi que le fait de cracker un fichier htaccess permettra de prouver l’intention malveillante de l’internaute et sera un élément à retenir contre lui.

Il n’en reste pas moins que le gestionnaire de site est responsable si des données à caractère personnel sont accessibles par ce biais. Ces données peuvent être des noms, adresses, numéros de téléphones, adresses e-mail, coordonnées bancaires… Il ressort de l’article 226-17 du code pénal et de l’article 34 de la loi Informatique et Liberté du 6 janvier 1978 que “le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès“.

Dès lors, un gestionnaire de site Internet ne peut agir valablement contre un internaute pouvant accéder facilement à des données sensibles qu’il ne souhaite pas divulguer, s’il n’a pas pris les précautions nécessaires, élémentaires, pour protéger ces données. Ce même gestionnaire pourra par ailleurs voir sa responsabilité pénale engagée si ces données, personnelles, doivent légalement être protégées. Au delà de ça n’est-il pas du plus bel effet pour un commerçant électronique de laisser sa base de données clients en libre accès ?

Très présent dans les foyers grâce aux “box”, les connexions wifi, ne sont pas toujours sécurisées par leurs utilisateurs, souvent par ignorance ou négligence. Il peut alors être tentant de profiter, voler, la connexion wifi de son voisin cela, à son insu. L’infraction de vol n’est toutefois pas constituée. Pour mémoire le vol est défini comme la soustraction frauduleuse de la chose d’autrui (art. 311-1 c. pénal). En effet, rien dans l’utilisation d’une connexion ne peut être vu comme une soustraction. Dès lors cette infraction n’est pas constituée.

Ce n’est pas parce que l’infraction de vol n’est pas constituée que l’utilisation frauduleuse de la connexion d’autrui n’est pas réprimée pour autant. En effet, l’article 323-1 du code pénal dispose que “le fait d’accéder ou de se maintenir, frauduleusement, dans tout ou partie d’un système de traitement automatisé de données est puni de deux ans d’emprisonnement et de 30000 euros d’amende.”

Procédons avec ordre pour comprendre cet article et ses différents éléments. Il faut :

• un système de traitement automatisé de données, élément central, de l’article, défini comme l’ensemble des éléments physiques et logiciels employés pour le traitement de données. Cette définition inclus aussi les réseaux assurant la communication entre les différents éléments du système. La définition, générale inclus donc, les ordinateurs, modems, routeurs, box… Cette définition ne concerne toutefois pas les atteintes physiques aux matériels qui sont concernées par les articles 322-1 et suivants du code pénal.
• une accession dans le système : il s’agit de toute action de pénétration ou d’intrusion : connexion, ouverture de fichier… Cette action doit se faire de manière frauduleuse c’est à dire sans droit, éventuellement à l’aide d’un logiciel sniffer. Cela signifie que même si la connexion n’est pas protégée, le simple fait de se connecter, même pour tester est constitutif de l’infraction. Cela ne dispense pas le propriétaire de son obligation de protéger son système si ce dernier contient des données personnelles. En revanche, accéder par erreur à l’Internet via la connexion wifi de son voisin ne sera pas constitutif d’infraction : il manquera l’élément intentionnel nécessaire à la commission d’un délit. L’intention de nuire au système n’est pas un élément à prendre en compte dans le sens où les nuisances occasionnées n’entrent pas en ligne de compte dans l’intrusion dans ledit système.
• et ou maintien dans le système. Ce maintien recouvre l’hypothèse où la personne s’est rendue compte qu’elle avait pénétré un système où normalement elle n’a rien à faire et y reste malgré tout. L’intention de nuire n’est pas non plus nécessaire pour que l’infraction soit constituée.

Si des dégâts sont occasionnés, suppressions, modifications d’informations, altération du système à l’occasion de l’accès frauduleux, l’alinéa 2 de l’article 322-1 prévoit une peine de trois ans d’emprisonnement et de 45000 euros d’amende.

Les questions de preuves relatives à l’accession, maintien, dégâts occasionnés sont les mêmes que pour l’ensemble des délits : il n’y a rien de spécifique en la matière.

L’hypothèse exposée ici ne recouvre bien sûr pas le cas où deux personnes voisines se mettent d’accord pour partager une connexion à l’Internet, par le biais d’une connexion wifi. Ici le risque n’est pas pénal : il n’y a pas d’infraction commise mais civil : le titulaire de l’abonnement n’a peut être pas l’autorisation de la part du fournisseur d’accès de partager sa connexion. Dans le cas présent, la réponse se trouve dans le contrat entre le titulaire de l’abonnement et le fournisseur d’accès.

Le partage de connexion peut également être expressément autorisé par le fournisseur d’accès à l’Internet. C’est le cas de Neuf qui autorise ses clients à utiliser le service Fon qui permet le partage de sa connexion à l’Internet avec d’autres clients du FAI. Là encore c’est le contrat qui détermine ce que l’on peut faire.

Après une pluie de procès contre les digg-like, va t-on assister à des procès entre voisins pour abus de connexion wifi ? Rien n’est moins sûr ! Soit le voisin n’en sait rien et n’est pas capable de s’en rendre compte, soit il y a accord et le fournisseur d’accès à l’Internet peut difficilement le savoir. Les procès pourront venir de l’utilisation de connexions non sécurisées pour la commission d’infractions sur l’Internet et là ce sera l’abonné négligent qui sera en première ligne, à son insu.